Esta página foi traduzida pela API Cloud Translation.

Executável do encaminhador das Operações de segurança do Google para Windows

Neste documento, descrevemos como instalar e configurar o encaminhador do Google Security Operations no Microsoft Windows.

Personalizar os arquivos de configuração

Com base nas informações enviadas antes da implantação, o Google Cloud fornece um arquivo executável e um arquivo de configuração opcional para o encaminhador do Google Security Operations. O arquivo executável só deve ser executado no host para o qual foi configurado. Cada arquivo executável inclui uma configuração específica da instância do encaminhador do Google Security Operations na rede. Se você precisar alterar a configuração, entre em contato com o suporte das Operações de segurança do Google.

Requisitos do sistema

Confira a seguir recomendações gerais. Para recomendações específicas para seu sistema, entre em contato com o suporte de Operações de segurança do Google.

Versão do Windows Server: o encaminhador do Google Security Operations é compatível com as seguintes versões do Microsoft Windows Server:
- 2008 R2
- 2012 R2
- 2016
RAM: 1,5 GB para cada tipo de dados coletado. Por exemplo, detecção e resposta de endpoint (EDR), DNS e DHCP são tipos de dados diferentes. Você precisa de 4,5 GB de RAM para coletar dados para os três.
CPU: duas CPUs são suficientes para processar menos de 10.000 eventos por segundo (EPS) (total para todos os tipos de dados). Se você espera encaminhar mais de 10.000 EPS, são necessárias de 4 a 6 CPUs.
Disco: 100 MB de espaço em disco são suficientes, independente da quantidade de dados processada pelo encaminhador das Operações de segurança do Google. Por padrão, o encaminhador das Operações de segurança do Google não faz o buffer no disco. É possível armazenar o disco em buffer adicionando os parâmetros write_to_disk_buffer_enabled e write_to_disk_dir_path ao arquivo de configuração.

Exemplo:
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

Intervalos de endereços IP do Google

Talvez seja necessário que o intervalo de endereços IP seja aberto ao definir uma configuração do encaminhador do Google Security Operations, como ao definir a configuração do seu firewall. O Google não pode fornecer uma lista específica de endereços IP. No entanto, você pode conseguir intervalos de endereços IP do Google.

Verificar a configuração do firewall

Se você tiver firewalls ou proxies autenticados entre o contêiner de encaminhador do Google Security Operations e a Internet, eles exigirão regras para permitir o acesso aos seguintes hosts do Google Cloud:

Tipo de conexão	Destino	Port
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	europe-west12-malachiteingestion-pa.googleapis.com	443
TCP	me-central1-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

Verifique a conectividade de rede com o Google Cloud seguindo estas etapas:

Inicie o Windows PowerShell com privilégios de administrador (clique em Iniciar, digite PowerShell, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como administrador).

Execute o comando a seguir. TcpTestSucceeded precisa retornar "true".

C:\> test-netconnection <host> -port <port>

Exemplo:

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Você também pode usar o encaminhador de Operações de segurança do Google para verificar a conectividade de rede:

Inicie o prompt de comando com privilégios de administrador (clique em Iniciar, digite Command Prompt, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador).
Para verificar a conectividade de rede, execute o encaminhador de Operações de segurança do Google com a opção -test.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

Instalar o encaminhador de Operações de segurança do Google no Windows

No Windows, o executável do encaminhador das Operações de segurança do Google precisa ser instalado como um serviço.

Copie o arquivo chronicle_forwarder.exe e o arquivo de configuração para um diretório de trabalho.
Inicie o prompt de comando com privilégios de administrador (clique em Iniciar, digite Command Prompt, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador).
Para instalar o serviço, navegue até o diretório de trabalho criado na etapa 1 e execute o seguinte comando:
```
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
```
Substitua FILE_NAME pelo nome do arquivo de configuração fornecido a você.

O serviço está instalado em C:\Windows\system32\ChronicleForwarder.
Para iniciar o serviço, execute o seguinte comando:
```
C:\> sc.exe start chronicle_forwarder
```

Verifique se o encaminhador de Operações de segurança do Google está em execução

O encaminhador das Operações de segurança do Google deve ter uma conexão de rede aberta na porta 443, e seus dados devem aparecer na interface da Web das Operações de segurança do Google em minutos.

Você pode verificar se o encaminhador de Operações de segurança do Google está em execução usando um dos seguintes métodos:

Gerenciador de tarefas: acesse a guia Processos > Background systems > chronicle_forwarder.
Monitor de recursos: na guia Rede, o aplicativo chronicle_forwarder.exe deve estar listado em Atividade de rede (sempre que o aplicativo chronicle_forwarder.exe se conectar ao Google Cloud), em Conexões TCP e em Portas de escuta.

Ver registros do encaminhador

Os arquivos de registro do encaminhador das Operações de segurança do Google são armazenados na pasta C:\Windows\Temp. Os arquivos de registro começam com chronicle_forwarder.exe.win-forwarder. Os arquivos de registro fornecem várias informações, incluindo quando o encaminhador foi iniciado e quando começou a enviar dados ao Google Cloud.

Desinstalar o encaminhador do Google Security Operations

Para desinstalar o serviço de encaminhador do Google Security Operations, siga estas etapas:

Abra o prompt de comando no modo de administrador.

Interrompa o serviço de encaminhador das Operações de segurança do Google:

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

Navegue até o diretório C:\Windows\system32\ChronicleForwarder e desinstale o serviço de encaminhador do Google Security Operations: C:\> .\chronicle_forwarder.exe -uninstall

Fazer upgrade do encaminhador de Operações de segurança do Google

Para fazer upgrade do encaminhador das Operações de segurança do Google enquanto continua usando seu arquivo de configuração atual, siga estas etapas:

Abra o prompt de comando no modo de administrador.
Copie o arquivo de configuração do diretório C:\Windows\system32\ChronicleForwarder para outro diretório.
Interrompa o encaminhador de Operações de segurança do Google:
```
C:\> sc.exe stop chronicle_forwarder
```
Desinstale o serviço e o aplicativo de encaminhador do Google Security Operations:
```
C:\> .\chronicle_forwarder.exe --uninstall
```
Exclua todos os arquivos no diretório C:\windows\system32\ChronicleForwarder.
Copie o novo aplicativo chronicle_forwarder.exe e o arquivo de configuração original para um diretório de trabalho.

No diretório de trabalho, execute o seguinte comando:

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

Inicie o serviço:
```
C:\ sc.exe start chronicle_forwarder
```

Coletar dados do Splunk

Entre em contato com o Suporte das Operações de segurança do Google para atualizar o arquivo de configuração do encaminhador das Operações de segurança do Google e encaminhar seus dados do Splunk para o Google Cloud.

Coletar dados de syslog

O encaminhador das Operações de segurança do Google pode operar como um servidor syslog, ou seja, é possível configurar qualquer dispositivo ou servidor compatível com o envio de dados de syslog por uma conexão TCP ou UDP para encaminhar dados para o encaminhador de Operações de segurança do Google. É possível controlar exatamente quais dados o dispositivo ou servidor envia para o encaminhador de Operações de segurança do Google, que pode encaminhar os dados para o Google Cloud.

O arquivo de configuração do encaminhador das Operações de segurança do Google especifica quais portas monitorar para cada tipo de dados encaminhados (por exemplo, porta 10514). Por padrão, o encaminhador das Operações de segurança do Google aceita conexões TCP e UDP. Entre em contato com o Suporte das Operações de segurança do Google para atualizar o arquivo de configuração do encaminhador das Operações de segurança do Google para que ele seja compatível com o syslog.

Ativar a compactação de dados

A compactação de registros reduz o consumo de largura de banda da rede ao transferir registros para as Operações de segurança do Google. No entanto, a compactação pode causar um aumento no uso da CPU. O equilíbrio entre o uso da CPU e a largura de banda depende de muitos fatores, como o tipo de dados de registro, a compactação dos dados, a disponibilidade de ciclos de CPU no host que executa o encaminhador e a necessidade de reduzir o consumo de largura de banda da rede.

Por exemplo, os registros baseados em texto são bem compactados e podem fornecer economia substancial de largura de banda com baixo uso da CPU. No entanto, os payloads criptografados de pacotes brutos não são bem compactados e geram um uso maior de CPU.

Como a maioria dos tipos de registro ingeridos pelo encaminhador pode ser compactada com eficiência, a compactação de registros é ativada por padrão para reduzir o consumo da largura de banda. No entanto, se o aumento no uso da CPU superar o benefício da economia de largura de banda, é possível desativar a compactação definindo o campo compression como false no arquivo de configuração do encaminhador do Google Security Operations, conforme mostrado no exemplo a seguir:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Ativar TLS para configurações syslog

É possível ativar o Transport Layer Security (TLS) para a conexão syslog com o encaminhador do Google Security Operations. No arquivo de configuração do encaminhador do Google Security Operations, especifique o local do seu certificado e da sua chave de certificado, conforme mostrado no exemplo a seguir:

certificado	`C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
certificate_key	`C:/opt/chronicle/external/certs/forwarder.key`

Com base no exemplo mostrado, a configuração do encaminhador do Google Security Operations seria modificada da seguinte maneira:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

É possível criar um diretório "certs" no diretório de configuração e armazenar os arquivos de certificado nele.

Coletar dados do pacote

O encaminhador de Operações de segurança do Google pode capturar pacotes diretamente de uma interface de rede usando Npcap em sistemas Windows.

Os pacotes são capturados e enviados para o Google Cloud em vez das entradas de registro. A captura é feita somente a partir de uma interface local.

Entre em contato com o Suporte das Operações de segurança do Google para atualizar o arquivo de configuração do encaminhador das Operações de segurança do Google para oferecer suporte à captura de pacotes.

Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:

Instale o Npcap no host do Microsoft Windows.
Conceda privilégios de administrador ou raiz do encaminhador das Operações de segurança do Google para monitorar a interface de rede.
Nenhuma opção de linha de comando é necessária.
Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.

Para configurar um encaminhador PCAP, o Google Cloud precisa do GUID da interface usada para capturar pacotes. Execute getmac.exe na máquina em que você planeja instalar o encaminhador das Operações de segurança do Google (o servidor ou a máquina que detecta a porta do span) e envie a saída para as Operações de segurança do Google.

Se preferir, modifique o arquivo de configuração. Localize a seção PCAP e substitua o valor do GUID mostrado ao lado da interface pelo GUID exibido na execução de getmac.exe.

Por exemplo, esta é uma seção original de PCAP:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Esta é a saída da execução de getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

E, finalmente, veja a seção revisada do PCAP com o novo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Coletar dados do WebProxy

O encaminhador do Google Security Operations pode capturar dados do WebProxy diretamente de uma interface de rede usando o Npcap e enviá-los ao Google Cloud.

Para ativar a captura de dados do WebProxy para seu sistema, entre em contato com o Suporte de Operações de Segurança do Google.

Antes de executar um encaminhador WebProxy, faça o seguinte:

Instale o Npcap no host do Microsoft Windows. Ative o modo de compatibilidade do WinPcap durante a instalação.
Conceda privilégios raiz ou de administrador ao encaminhador do Google Security Operations para monitorar a interface de rede.
Para configurar um encaminhador do WebProxy, o Google Cloud precisa do GUID da interface usada para capturar os pacotes do WebProxy.

Execute getmac.exe na máquina em que você quer instalar o encaminhador de Operações de segurança do Google e enviar a saída para as Operações de segurança do Google. Como alternativa, modifique o arquivo de configuração. Localize a seção WebProxy e substitua o GUID mostrado ao lado da interface pelo que aparece depois da execução de getmac.exe.

Modifique o arquivo de configuração do encaminhador do Google Security Operations (FORWARDER_NAME.conf) da seguinte maneira:
```
  - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80
```