Gerenciar as configurações de encaminhadores por meio da interface das Operações de segurança do Google
Esta página descreve como criar, gerenciar e fazer o download de configurações do encaminhador usando a interface do usuário (UI) do Google Security Operations. Você também pode realizar essas tarefas de forma programática usando o API Forwarder Management.
Convenções de nomenclatura
Este documento usa estas convenções de nomenclatura:
- Encaminhador de operações de segurança do Google: o componente de software implantado.
- encaminhador: o nome curto de uma configuração de encaminhador quando ela é armazenada na instância do Google Security Operations.
- collector: é o nome curto de uma configuração de coletor quando ela é armazenada na instância de Operações de segurança do Google.
Adicionar encaminhadores
Adicionar um encaminhador é a primeira etapa da configuração de um encaminhador de operações de segurança do Google. Adicionar um encaminhador permite que você faça o seguinte:
- Nomeie uma configuração de encaminhador.
- Especifique valores de configuração do encaminhador.
Adicionar um novo encaminhador cria uma configuração parcialmente completa. Para concluir a configuração do encaminhador, você precisa adicione um coletor. Depois de adicionar pelo menos um coletor, será possível fazer o download do encaminhador e implantá-la em uma máquina ou dispositivo em que o encaminhador de operações de segurança do Google instalado.
Em vez de adicionar um novo encaminhador, é possível clonar um ou mais endereços encaminhadores. Para mais detalhes, consulte Encaminhar encaminhadores de clones.
Para adicionar um novo encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, digite um nome.
Opcional: expanda a seção Valores de configuração e especifique uma das opções a seguir:
- Upload Compactar: selecione Sim para compactar os dados de registro antes enviado para as Operações de segurança do Google. O padrão é No. Para detalhes sobre dados compactação, consulte Compactação de upload.
- Namespace do recurso:digite um namespace que identifique os registros coletados por este encaminhador. Esse namespace será aplicado a todos os coletores adicionados a esse encaminhador, a menos que você especifique um namespace para um coletor no nível do coletor. Se você especificar um namespace no nível do encaminhador e do coletor, o namespace do coletor será usado em vez do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
- Chave e Valor do rótulo:digite uma chave e um valor. Se quiser, Você também pode clicar em Adicionar novo marcador para incluir um ou mais marcadores pares de chave-valor. Essa é uma configuração global que se aplica aos remetentes e os coletores do encaminhador, a menos que seja substituído no nível do coletor. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:
Adicionar filtros que filtrem registros com base na expressão regular
(sintaxe RE2) faz a correspondência com cada linha de entrada do registro bruto. O Comportamento do filtro determina se a linha recebida deve ser
allow
oublock
em uma correspondência. Por padrão, incluindo quando o comportamento do filtro éunspecified
, o em uma correspondência éblock
a linha de entrada e continuar avaliar a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.
(Somente coleção syslog) Opcional: alterne as Configurações do servidor para configurar o servidor HTTP integrado do encaminhador, que pode ser usado para configurar opções de balanceamento de carga e alta disponibilidade para syslog; no Linux. Para detalhes sobre essas configurações, consulte Configurações do servidor HTTP para a coleção de syslog.
Clique em Enviar.
O encaminhador será adicionado, e a janela Adicionar configuração do coletor será exibida.
No campo Nome do coletor, digite um nome.
Clique no campo Tipo de registro para ver uma lista de tipos de registro e realize uma das o seguinte:
- Se você não vir o tipo de registro que deseja, comece a digitar seu nome no para ver mais sugestões. Para uma lista completa dos tipos de registro aceitos, ver Conjuntos de dados compatíveis.
- Selecione um tipo de registro na lista.
Opcional: expanda a seção Valores de configuração e especifique um dos seguintes:
- Namespace do recurso:digite um namespace que identifique os registros coletados por este coletor. Se um namespace for especificado para um coletor, o namespace do coletor é usado em vez do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, ver Namespaces de recursos.
- Chave e valor do rótulo:digite uma chave e um valor. Se quiser, Você também pode clicar em Adicionar outro para incluir um ou mais rótulos adicionais. pares de chave-valor. Nos registros deste coletor, esta configuração modifica os rótulos especificado no nível do encaminhador. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:
Adicionar filtros que filtrem registros com base na expressão regular
(Sintaxe de RE2)
corresponde a cada linha de entrada do registro bruto. O comportamento do filtro determina se a linha recebida (
allow
oublock
) é aplicada em uma correspondência. Por padrão, incluindo quando o comportamento do filtro éunspecified
, o em uma correspondência éblock
a linha de entrada e continuar avaliar a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.
Opcional: expanda a seção Configurações avançadas e especifique o seguinte:
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
10
. - Máximo de bytes por lote: o número de bytes na fila antes do encaminhador
upload em lote. O padrão é
1048576
.
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
Opcional: buffer de disco:defina o botão como on para ativar o disco. o armazenamento em buffer para o coletor. Para detalhes sobre armazenamento em buffer de disco, consulte Armazenamento em buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:
- Caminho do diretório:o caminho do diretório dos arquivos gravados.
- Máximo de bytes do buffer do arquivo: o tamanho máximo do disco usado pelo coletor
antes que as mensagens acumuladas sejam armazenadas em buffer no disco. O padrão é
1073741824
. O máximo é4294967296
.
Clique no campo Tipo de coletor e selecione uma opção. Cada o tipo de coletor tem suas próprias configurações que podem ser definidas. Para mais detalhes sobre os tipos de coletores e suas configurações, consulte Configurações do tipo de coletor.
Clique em Enviar.
Adicionar coletores
É possível adicionar um ou mais coletores a um encaminhador atual.
Ao adicionar um coletor, é possível fazer o seguinte:
- Dê um nome ao coletor.
- Especifique o tipo de registro a ser coletado, como Pan Firewall, Cisco ASA Firewall e outros.
- Especifique o tipo de coletor: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
- Especifique os valores de configuração do coletor.
Depois de adicionar pelo menos um coletor a um encaminhador, será possível fazer o download do e implantá-la em uma máquina ou dispositivo em que o O encaminhador está instalado.
Para adicionar um novo coletor a um encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores.
- Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longo, use o campo Pesquisa.
- Mantenha o ponteiro do mouse sobre o encaminhador a que você quer adicionar um coletor. O ícone do menu de expansão é exibido.
- Clique no ícone do menu de expansão.
- Selecione Adicionar novo coletor.
- No campo Nome do coletor, digite um nome.
Clique no campo Tipo de registro para ver uma lista de tipos de registro e realize uma das o seguinte:
- Se você não vir o tipo de registro que deseja, comece a digitar seu nome no para ver mais sugestões. Para uma lista completa dos tipos de registro aceitos, ver Conjuntos de dados compatíveis.
- Selecione um tipo de registro na lista.
Opcional: expanda a seção Valores de configuração e especifique um dos seguintes:
- Namespace do recurso:digite um namespace que identifique os registros coletados por este coletor. Se um namespace for especificado para um coletor, o namespace do coletor é usado em vez do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, ver Namespaces de recursos.
- Chave e valor do rótulo:digite uma chave e um valor. Se quiser, Você também pode clicar em Adicionar outro para incluir um ou mais rótulos adicionais. pares de chave-valor. Nos registros deste coletor, esta configuração modifica os rótulos especificado no nível do encaminhador. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:
Adicionar filtros que filtrem registros com base na expressão regular
(Sintaxe de RE2)
corresponde a cada linha de entrada do registro bruto. O comportamento do filtro determina se a linha recebida (
allow
oublock
) é aplicada em uma correspondência. Por padrão, incluindo quando o comportamento do filtro éunspecified
, o em uma correspondência éblock
a linha de entrada e continuar avaliar a próxima linha em busca de uma correspondência. Para mais informações, consulte Filtros de expressão regular.
Opcional: expanda a seção Configurações avançadas e especifique o seguinte:
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
10
. - Máximo de bytes por lote: o número de bytes na fila antes do encaminhador
upload em lote. O padrão é
1048576
.
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
Opcional: buffer de disco:defina o botão como on para ativar o disco. o armazenamento em buffer para o coletor. Para detalhes sobre armazenamento em buffer de disco, consulte Armazenamento em buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:
- Caminho do diretório:o caminho do diretório dos arquivos gravados.
- Máximo de bytes do buffer do arquivo: o tamanho máximo do disco usado pelo coletor
antes que as mensagens acumuladas sejam armazenadas em buffer no disco. O padrão é
1073741824
. O máximo é4294967296
.
Clique no campo Tipo de coletor e selecione uma opção. Cada o tipo de coletor tem suas próprias configurações que podem ser definidas. Para mais detalhes sobre os tipos de coletores e suas configurações, consulte Configurações do tipo de coletor.
Clique em Enviar.
Gerenciar encaminhadores
Listar os encaminhadores em uma instância das Operações de segurança do Google
Para listar os encaminhadores em uma instância das Operações de segurança do Google, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
- Opcional: classifique a lista clicando na coluna Nome ou Última atualização.
Se quiser, use o campo de pesquisa para restringir os resultados na lista.
Clone encaminhadores
Com a clonagem, é possível criar uma cópia de uma ou mais configurações de encaminhador.
Para clonar encaminhadores, siga estas etapas:
Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer clonar.
Clique no
ícone do menu de expansão.Selecione Clonar selecionados.
Clique em Clone. Uma cópia de cada encaminhador é adicionada.
Editar uma configuração de encaminhador
Para editar uma configuração de encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Mantenha o ponteiro do mouse sobre o encaminhador cuja configuração você quer editar. O ícone do menu de expansão
é exibido.Clique no
ícone do menu de expansão.Escolha Editar configuração do encaminhador.
Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar encaminhadores.
Clique em Enviar.
Excluir encaminhadores
Para excluir encaminhadores, siga estas etapas:
Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer excluir.
Clique no
ícone do menu de expansão.Selecione Excluir selecionados.
Clique em Excluir selecionados.
Gerenciar coletores
Liste os coletores em uma instância do Google Security Operations
Para listar os coletores em uma instância do Google Security Operations, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
- Clique na seta de expansão ao lado do título da coluna Nome. Isso expande todos os encaminhadores, exibindo até cinco coletores para cada um.
- Se um encaminhador tiver mais de cinco coletores, clique no link Ver todos os coletores.
Editar a configuração do coletor
Para editar a configuração de um coletor, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Clique na
seta de expansão do encaminhador em que você quer editar um coletor.Se houver mais de cinco coletores, clique no link Ver todos os coletores.
Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Editar é exibido.
Clique em Editar.
Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar coletores.
Clique em Enviar.
Excluir um coletor
Para excluir um coletor, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Clique na
seta de expansão do encaminhador de que você quer excluir um coletor.Se houver mais de cinco coletores, clique no link Ver todos os coletores.
Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Excluir vai aparecer.
Clique no link Excluir.
Para confirmar, clique no botão Excluir.
Fazer o download dos arquivos de configuração
O download de um encaminhador requer pelo menos um coletor. Se você tentar fazer o download de um encaminhador sem um coletor, receberá uma mensagem de erro.
Você pode fazer o download do arquivo de configuração (.conf
), de autenticação (_auth.conf
) ou de ambos para qualquer encaminhador listado na sua instância do Google Security Operations, desde que ele tenha pelo menos um coletor. Depois de fazer o download dos arquivos, implante-os no sistema Windows ou Linux em que o Encaminhador de operações de segurança do Google reside.
Para fazer o download dos arquivos de configuração do encaminhador:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longo, use o campo Pesquisa.
Mantenha o ponteiro do mouse sobre o encaminhador do qual você quer fazer o download dos arquivos de configuração. O ícone do menu de expansão
é exibido.Clique no
ícone do menu de expansão.Selecione Fazer o download.
Na caixa de diálogo Fazer o download da configuração do encaminhador, siga um destes procedimentos:
- Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo
.conf
. - Para fazer o download do arquivo de autenticação do encaminhador, clique no ícone de download ao lado do tipo de arquivo
_auth.conf
. - Para fazer o download dos dois arquivos, clique em Fazer o download de tudo.
- Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo
Referência das definições de configuração
As configurações de encaminhamento incluem um ou mais coletores.
É possível definir as seguintes configurações no nível do encaminhador:
Você pode definir as seguintes configurações no nível do encaminhador e no nível do coletor. Para entender o resultado de definir a configuração em ambos níveis, consulte a seção da configuração.
- Namespaces de recursos
- Marcadores
- Filtros de expressão regular
- Configurações do servidor HTTP para a coleção de syslog
É possível definir as seguintes configurações no nível do coletor:
Compactação de upload
Padrão:ativado
É possível configurar a compactação de upload para um encaminhador, mas não para um coletor. Quando ativada, essa configuração compacta os registros antes de serem enviados Operações de segurança do Google. Isso reduz o consumo de largura de banda da rede durante a transferência para Operações de segurança do Google. No entanto, a compactação pode aumentar o uso da CPU.
A compensação entre o uso de largura de banda e de CPU depende de muitos fatores, incluindo o tipo de dados de registro, a compressibilidade desses dados, a disponibilidade de recursos no host executando o encaminhador, e a necessidade de reduzir a consumo de largura de banda. Por exemplo, registros baseados em texto são bem compactados e podem uma economia de largura de banda substancial com baixo uso da CPU. No entanto, os dados criptografados payloads de pacotes brutos não são bem comprimidos e aumentam o uso da CPU.
Namespaces de recursos
Padrão:o campo fica vazio se não for especificado.
É possível configurar um namespace de recurso para um encaminhador, um coletor ou ambos. Você pode usar um namespace para identificar registros de segmentos de rede distintos e e eliminar o conflito de endereços IP sobrepostos. Todos os namespaces que você configurar aparecem com os recursos associados na interface do usuário das Operações de segurança do Google. Você também pode pesquisar para namespaces que usam o recurso de Pesquisa de Operações de Segurança do Google.
Você pode especificar um namespace para um encaminhador e outros namespaces para um ou mais coletores do encaminhador. Se um namespace for especificado para um coletor, o namespace do coletor é usado em vez do nome namespace para os registros desse coletor.
Para informações sobre como usar namespaces, consulte Namespaces de recursos.
Rótulos
Padrão:os campos ficam vazios se não forem especificados.
É possível configurar rótulos para um encaminhador, um coletor ou ambos. Os rótulos são usados para anexar metadados arbitrários a registros usando pares de chave-valor. Os marcadores podem ser configuradas para um encaminhador inteiro ou em um coletor específico de um encaminhador. Se ambos forem fornecidos, os rótulos serão mesclados com as chaves do coletor tem precedência sobre as chaves do encaminhador se as chaves se sobrepuserem.
Filtros de expressão regular
Padrão:os campos ficam vazios se não forem especificados.
É possível configurar filtros de expressão regular para um encaminhador, um coletor ou os dois. Os filtros de expressão regular permitem bloquear ou permitir linhas de entrada de um valor bruto que correspondam à expressão.
Os filtros usam o elemento Sintaxe RE2.
Os filtros precisam incluir uma expressão regular e, opcionalmente, definir um comportamento quando há uma correspondência. O comportamento padrão em uma correspondência é bloquear (você também pode configure-a explicitamente como um bloco).
Como alternativa, especifique filtros com o comportamento allow. Se você especificar qualquer filtro de permissão, o encaminhador bloqueia quaisquer registros que não correspondam a pelo menos um permitir filtro.
É possível definir um número arbitrário de filtros. Os filtros de bloqueio precedência sobre os filtros de permissão.
Quando os filtros são definidos, é necessário atribuir um nome a eles. Os nomes dos ativos os filtros são informados às Operações de segurança do Google usando métricas de integridade do encaminhador. Filtros definidos no nível do encaminhador são mesclados com filtros definidos no coletor nível Os filtros no nível do coletor têm precedência em casos de nomes conflitantes. Se se nenhum filtro for definido no nível do encaminhador ou do coletor, o comportamento é permitir todos.
Configurações do servidor HTTP para a coleção de syslog
O encaminhador de operações de segurança do Google pode ser implantado em um ambiente O balanceador de carga da camada 4 é instalado entre a origem e o encaminhador de dados. instâncias. Assim, você pode distribuir a coleção de registros vários encaminhadores ou enviar registros para outro em caso de falha. Isso esse recurso só é compatível com o tipo de coleção "syslog".
O encaminhador inclui um servidor HTTP integrado que responde as verificações de integridade do balanceador de carga. O servidor HTTP também ajuda a garantir registros não são perdidos durante a inicialização ou encerramento de um encaminhador.
As definições do servidor nas configurações do encaminhador são compatíveis com a definição do tempo limite Durações e códigos de status retornados em resposta a verificações de integridade recebidas em programador de contêiner e implantações baseadas em orquestração, e de e balanceadores de carga de rede externos.
Use os caminhos de URL abaixo para verificações de integridade, prontidão e atividade. A
Os valores <host:port>
são definidos na configuração do encaminhador.
- http://
<host:port>
/meta/available: verificações de atividade do contêiner programadores/orquestradores, como o Kubernetes. - http://
<host:port>
/meta/ready: verificações de prontidão e carga tradicional e verificações de integridade do balanceador.
Configuração | Descrição |
---|---|
Tempo limite sem limite | Por quanto tempo novas conexões ainda são aceitas após o
encaminhador retorna um status de ilegível em resposta a uma verificação de integridade.
Também é o tempo de espera entre o recebimento de um sinal para parar e
iniciando o encerramento do próprio servidor. Isso permite que
balanceador de carga para remover o encaminhador do pool. Os valores válidos estão em segundos. Por exemplo, para especificar 10 segundos, digite 10.
Valores decimais não são permitidos.Padrão:15 segundos |
Tempo limite de drenagem | A quantidade de tempo que o encaminhador espera conexões ativas para
fechar por conta própria antes de ser fechado pelo
servidor. Por exemplo, para especificar 5 segundos, digite 5.
Valores decimais não são permitidos.Padrão:10 segundos |
Port | O número da porta que o servidor HTTP detecta para verificações de integridade
do balanceador de carga. O valor precisa estar entre 1024 e 65535. Padrão: 8080 |
Endereço IP/nome do host | O endereço IP, ou nome de host, que pode ser convertido em um endereço IP,
que o servidor deve ouvir. Padrão:0.0.0.0 (o sistema local) |
Tempo limite de leitura | Usado para ajustar o servidor HTTP. Normalmente, não precisa ser alterado
da configuração padrão. A quantidade máxima de tempo permitida para leitura
toda a solicitação, tanto o cabeçalho quanto o corpo. É possível definir
no campo tempo limite de leitura e cabeçalho de leitura
tempo limite. Padrão:3 segundos |
Tempo limite de leitura do cabeçalho | Usado para ajustar o servidor HTTP. Normalmente, não precisa ser alterado
da configuração padrão. A quantidade máxima de tempo permitida para leitura
cabeçalhos de solicitação. O prazo de leitura da conexão é redefinido após
lendo o cabeçalho. Padrão:3 segundos |
Tempo limite de gravação | Usado para ajustar o servidor HTTP. Normalmente, não precisa ser alterado
da configuração padrão. A quantidade máxima de tempo permitida para enviar
uma resposta. Ele é redefinido quando um novo cabeçalho de solicitação é lido. Padrão:3 segundos |
Tempo limite de inatividade | Usado para ajustar o servidor HTTP. Normalmente, não precisa ser alterado
da configuração padrão. O tempo máximo de espera pela
próxima solicitação quando conexões inativas estiverem ativadas. Se a tag inativa
tempo limite estiver definido como zero, o valor do valor read
tempo limite. Se ambos forem zero, o valor read
tempo limite do cabeçalho . Padrão:3 segundos |
Código de status disponível | O código de status que o encaminhador retorna quando uma verificação de atividade é
recebido e o encaminhador está disponível. Programadores de contêineres e
orquestradores, como o Kubernetes, costumam enviar verificações de atividade. Padrão: 204 |
Código de status "Pronto" | O código de status que o encaminhador retorna quando está pronto para aceitar
o tráfego em uma das seguintes situações:
|
O código de status não está pronto | O código de status que o encaminhador retorna quando não está pronto para aceitar
do tráfego de entrada. Padrão: 503 |
Tipo de registro
Para uma lista completa dos tipos de registro permitidos, consulte Conjuntos de dados compatíveis.
Armazenamento em buffer de disco
O armazenamento em buffer de disco permite armazenar em buffer as mensagens acumuladas no disco, memória. As mensagens em backlog podem ser armazenadas caso o encaminhador falhe ou o host subjacente falha. Ativar o armazenamento em buffer de disco pode afetar desempenho.
Se o armazenamento em buffer do disco estiver desativado, o coletor usará 1 GB de memória (RAM) para o os registros coletados. É possível especificar o máximo usando a coluna Máximo de arquivos bytes na configuração do coletor. Isso determina a quantidade máxima de RAM tamanho usado pelo coletor antes que as mensagens acumuladas sejam armazenadas em buffer no disco. A o padrão é 1073741824. O máximo é 4294967296.
Se você estiver executando o encaminhador usando o Docker, o Google recomenda montar um separado do volume de configuração para fins de isolamento. Além disso, cada entrada precisa ser isolada com o próprio diretório ou volume para evitar conflitos de segurança.
Configurações do tipo de coletor
Cada configuração do coletor precisa especificar um tipo de coletor. Esta seção descreve os tipos de coletor e suas configurações.
Arquivo
Use o tipo de coletor file
para fazer upload de registros de um único arquivo de registros.
Campo | Campo obrigatório ou opcional para esse tipo | Descrição |
---|---|---|
Caminho do arquivo | Obrigatório | O caminho do diretório e o nome do arquivo. Por exemplo:/opt/chronicle/edr/output/sample.txt |
Kafka
Use o tipo de coletor kafka
para ingerir dados de tópicos do Kafka. Consumidor do Kafka
grupos são aproveitados para permitir que você implante até três Encaminhadores de Operações de Segurança do Google para
extrair dados do mesmo tópico Kafka. Para mais informações, consulte
Kafka (em inglês).
Para mais informações sobre os grupos de consumidores Kafka, consulte
Kafka Consumer.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Nome de usuário | Obrigatório | O nome de usuário de uma identidade usada para autenticação. |
Senha | Obrigatório | A senha da conta associada ao nome de usuário. |
Tópico | Obrigatório | O tópico Kafka a partir do qual ingerir dados. |
ID do grupo | Obrigatório | Um ID de grupo. |
Tempo limite | Obrigatório | O número máximo de segundos que um discador aguarda uma conexão
concluído. Padrão: 60 |
Agentes | Opcional | Insira um corretor na caixa de texto. Por exemplo:broker-1:9092 Clique em Adicionar outro para adicionar outro agente. Observação:todos os valores são substituídos durante uma atualização. operação Portanto, para atualizar uma lista de corretores para adicionar um novo correto, especifique todos os agentes existentes e o novo agente. |
Certificado TLS | Obrigatório | O caminho e o nome de arquivo do certificado. Por exemplo:/path/to/cert.pem |
Chave de certificado TLS | Obrigatório | O caminho e o nome do arquivo da chave de certificado. Por exemplo:/path/to/cert.key |
Versão mínima de TLS | Obrigatório | A versão mínima do TLS. Exemplo: TLSv1_3 |
Verificação de pulo não segura TLS | Obrigatório | Ativa a verificação de certificação SSL. Padrão:desativado |
Pcap
Esta seção abrange os seguintes tópicos:
Como usar o pcap no Windows
O encaminhador do Google Security Operations pode capturar pacotes diretamente de uma interface de rede usando Npcap em sistemas Windows.
Entre em contato com o suporte das Operações de segurança do Google para atualizar seu arquivo de configuração de encaminhador das Operações de segurança do Google oferecer suporte à captura de pacotes.
Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:
- Instale o Npcap no host do Microsoft Windows.
- No host do Windows, conceda acesso de administrador ou raiz do encaminhador das Operações de segurança do Google para monitorar a interface de rede.
- Nenhuma opção de linha de comando é necessária.
- Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.
Como usar o pcap no Linux
Use o tipo de coletor pcap
para capturar pacotes diretamente de uma rede
interface usando o libcap no Linux. Para mais informações sobre o libcap, consulte
libcap: página de manual do Linux.
Os pacotes são capturados e enviados para as Operações de segurança do Google em vez das entradas de registro. Pacote A captura é processada apenas por uma interface local.
As Operações de segurança do Google configuram o encaminhador de Operações de segurança do Google com o Filtro de pacotes Berkeley (BPF) expressão usada na captura de pacotes (por exemplo, porta 53 e não localhost). Para mais informações, consulte Filtros de pacote Berkeley (em inglês).
Configurações do coletor para pcap
As mesmas configurações do coletor se aplicam a host.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Interface de rede | Obrigatório | A interface para detectar dados PCAP. Observação: para um host do Windows, esse é o GUID para a interface usada para capturar pacotes. Para conseguir esse valor, execute getmac.exe na máquina em que o encaminhador de operações de segurança do Google está instalado (o servidor ou a máquina que detecta o período porta). A saída getmac.exe começa com \Device\Tcpip_ .
Substitua por \Device\NPF_ .Exemplo: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234} |
Filtro de pacote Berkeley | Obrigatório | O Filtro de pacotes Berkeley (BPF) para pcap. Exemplo: udp port 53 |
Splunk
Use o tipo de coletor splunk
para coletar dados do Splunk.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Nome de usuário | Obrigatório | O nome de usuário de uma identidade usada para autenticação. |
Senha | Obrigatório | A senha da conta identificada pelo nome de usuário. |
Host | Obrigatório | O host ou endereço IP da API REST do Splunk. Exemplo: https://10.0.113.15 |
Porta | Obrigatório | A porta da API REST do Splunk. |
Tamanho mínimo da janela | Obrigatório | O intervalo de tempo mínimo em segundos passado para a consulta do Splunk. Isso
é usado para o ajuste se o requisito for alterar a forma como
frequentemente, o servidor do Splunk é consultado quando o encaminhador está em
estado estável. Além disso, quando há um atraso, a chamada de API do Splunk pode ser
feitas várias vezes. Padrão:10 |
Tamanho máximo da janela | Obrigatório | O intervalo de tempo máximo em segundos passados para a consulta do Splunk. Isso
parâmetro é usado para o ajuste nos casos em que há um atraso ou se mais
dados por consulta. Altere esse parâmetro (igual ou maior que) ao alterar o mínimo. Casos de atraso podem ocorrer se uma chamada de consulta do Splunk for levando mais do que o tamanho máximo da janela. Observação: os períodos nunca se sobrepõem quando o Splunk servidor é consultado. O intervalo de tempo consultado está sempre entre o parâmetros de janela mínimo e máximo. Padrão:30 |
String de consulta | Obrigatório | A consulta usada para filtrar registros no Splunk. Exemplo: search index=* sourcetype=dns |
Modo de consulta | Obrigatório | O modo de consulta para o Splunk. Exemplo: realtime |
Certificado ignorado | Opcional | Se ativado, o certificado será ignorado. Padrão:desativado |
Syslog
Use o tipo de coletor syslog
para coletar dados de syslog. É possível configurar qualquer
appliance ou servidor que oferece suporte ao envio de dados de syslog por uma conexão TCP ou UDP
para encaminhar os dados ao Encaminhador de Operações de Segurança do Google. É possível controlar o tempo exato
que o appliance ou o servidor envia para o encaminhador de operações de segurança do Google. Encaminhador de operações de segurança do Google
poderá encaminhar os dados para as Operações de segurança do Google.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Protocolo | Obrigatório | O protocolo de conexão que o coletor usará para detectar dados de syslog. Os valores válidos são:
|
Endereço | Obrigatório | O endereço IP ou o nome do host de destino em que o coletor está localizado e detecta dados de syslog. |
Porta | Obrigatório | A porta de destino em que o coletor reside e detecta o syslog dados. |
Tamanho do buffer | Obrigatório | O tamanho em bytes do buffer do soquete. O padrão para TCP é 65536. O padrão para UDP é 8192. |
Tempo limite de conexão | Obrigatório | O número de segundos de inatividade após o qual a conexão TCP é
caíam. Padrão:60 |
Certificado TLS | Obrigatório | O caminho e o nome de arquivo do certificado. Por exemplo:/path/to/cert.pem |
Chave de certificado TLS | Obrigatório | O caminho e o nome do arquivo da chave de certificado. Por exemplo:/path/to/cert.key |
Versão mínima de TLS | Obrigatório | A versão mínima do TLS. Exemplo: TLSv1_3 |
Verificação de pulo não segura TLS | Obrigatório | Ativa a verificação de certificação SSL. Padrão:desativado |
WebProxy
Além de especificar os valores de campo para o Encaminhador de SecOps do Google no Windows, instale a biblioteca Npcap na máquina ou no dispositivo Windows. Isso não é necessário para o Encaminhador de SecOps do Google em sistemas Linux.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Interface de rede | Obrigatório | A interface a ser detectada pelos dados do proxy da Web. |
Filtro de pacote Berkeley | Obrigatório | O Filtro de pacotes de Berkeley (BPF, na sigla em inglês) para o proxy da Web. Exemplo: udp port 53 |
Solução de problemas
Os dados Syslog não são recebidos pelo encaminhador
Verifique se as configurações de syslog do coletor estão definidas para usar o protocolo de conexão correto (TCP ou UDP) para os dados recebidos. Para mais informações, consulte Editar um coletor.