Ausführbare Datei des Google Security Operations-Weiterleitungsprogramms für Windows

In diesem Dokument wird beschrieben, wie Sie den Google Security Operations-Weiterleiter unter Microsoft Windows installieren und konfigurieren.

Konfigurationsdateien anpassen

Anhand der Informationen, die Sie vor der Bereitstellung eingereicht haben, stellt Google Cloud Ihnen eine ausführbare Datei und eine optionale Konfigurationsdatei für den Google Security Operations-Weiterleiter zur Verfügung. Die ausführbare Datei sollte nur auf dem Host ausgeführt werden, für den sie konfiguriert wurde. Jede ausführbare Datei enthält eine Konfiguration, die für die Google Security Operations-Weiterleitungsinstanz in Ihrem Netzwerk spezifisch ist. Wenn Sie die Konfiguration ändern möchten, wenden Sie sich an den Support von Google Security Operations.

Systemanforderungen

Im Folgenden finden Sie allgemeine Empfehlungen. Wenn Sie Empfehlungen speziell für Ihr System benötigen, wenden Sie sich an den Google Security Operations-Support.

• Windows Server-Version: Der Google Security Operations-Weiterleiter wird von den folgenden Versionen von Microsoft Windows Server unterstützt:

  • 2008 R2

  • 2012 R2

  • 2016

• RAM: 1,5 GB für jeden erfassten Datentyp. Beispielsweise sind Endpoint Detection and Response (EDR), DNS und DHCP jeweils separate Datentypen. Sie benötigen 4,5 GB RAM, um Daten für alle drei zu erheben.

• CPU: 2 CPUs reichen für weniger als 10.000 Ereignisse pro Sekunde (EPS) (insgesamt für alle Datentypen). Wenn Sie mehr als 10.000 EPS weiterleiten möchten, sind 4 bis 6 CPUs erforderlich.

• Laufwerk: 20 GB Speicherplatz sind erforderlich, unabhängig davon, wie viele Daten der Google Security Operations-Weiterleiter verarbeitet. Der Google Security Operations-Weiterleiter puffert standardmäßig nicht auf dem Laufwerk. Es wird jedoch empfohlen, die Laufwerkpufferung zu aktivieren. Sie können das Laufwerk puffern, indem Sie der Konfigurationsdatei die Parameter write_to_disk_buffer_enabled und write_to_disk_dir_path hinzufügen.

  Beispiel:

  - <collector>:
       common:
           ...
           write_to_disk_buffer_enabled: true
           write_to_disk_dir_path: <var>your_path</var>
           ...
  

Google-IP-Adressbereiche

Möglicherweise müssen Sie den IP-Adressbereich öffnen, wenn Sie eine Google Security Operations-Weiterleitungskonfiguration einrichten, z. B. bei der Konfiguration Ihrer Firewall. Google kann keine bestimmte Liste von IP-Adressen zur Verfügung stellen. Sie können jedoch IP-Adressbereiche von Google abrufen.

Firewallkonfiguration prüfen

Wenn sich zwischen dem Google Security Operations-Weiterleitungscontainer und dem Internet Firewalls oder authentifizierte Proxys befinden, sind Regeln erforderlich, um den Zugriff auf die folgenden Google Cloud-Hosts zu ermöglichen:

So prüfen Sie die Netzwerkverbindung zu Google Cloud:

1. Starten Sie Windows PowerShell mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie PowerShell ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell und dann auf Als Administrator ausführen.

2. Führen Sie den folgenden Befehl aus: TcpTestSucceeded sollte „wahr“ zurückgeben.

   C:\> test-netconnection <host> -port <port>

   Beispiel:

   C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
   ComputerName     : malchiteingestion-pa.googleapis.com
   RemoteAddress    : 198.51.100.202
   RemotePort       : 443
   InterfaceAlias   : Ethernet
   SourceAddress    : 10.168.0.2
   TcpTestSucceeded : True
   

Sie können auch den Google Security Operations-Weiterleiter verwenden, um die Netzwerkverbindung zu prüfen:

1. Öffnen Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.

2. Führen Sie den Google Security Operations-Weiterleiter mit der Option -test aus, um die Netzwerkverbindung zu prüfen.

   C:\> .\chronicle_forwarder.exe -test
   Verify network connection succeeded!
   

Google Security Operations-Weiterleitung unter Windows installieren

Unter Windows muss die ausführbare Datei des Google Security Operations-Weiterleitungsprogramms als Dienst installiert werden.

1. Kopieren Sie die Datei chronicle_forwarder.exe und die Konfigurationsdatei in ein Arbeitsverzeichnis.

2. Öffnen Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.

3. Rufen Sie zum Installieren des Dienstes das Arbeitsverzeichnis auf, das Sie in Schritt 1 erstellt haben, und führen Sie den folgenden Befehl aus:

   C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
   

   Ersetzen Sie FILE_NAME durch den Namen der bereitgestellten Konfigurationsdatei.

   Der Dienst ist unter C:\Windows\system32\ChronicleForwarder installiert.

4. Führen Sie den folgenden Befehl aus, um den Dienst zu starten:

   C:\> sc.exe start chronicle_forwarder
   

Prüfen, ob der Google Security Operations-Weiterleiter ausgeführt wird

Der Google Security Operations-Weiterleiter sollte eine Netzwerkverbindung über Port 443 geöffnet haben und Ihre Daten sollten innerhalb weniger Minuten in der Google Security Operations-Weboberfläche angezeigt werden.

Sie können mit einer der folgenden Methoden prüfen, ob der Google Security Operations-Weiterleiter ausgeführt wird:

• Task-Manager: Rufen Sie den Tab Prozesse > Hintergrundprozesse > chronicle_forwarder auf.

• Ressourcenmonitor: Auf dem Tab Netzwerk sollte die chronicle_forwarder.exe-Anwendung unter Netzwerkaktivität (wenn die chronicle_forwarder.exe-Anwendung eine Verbindung zu Google Cloud herstellt), unter TCP-Verbindungen und unter „Warteschlangenports“ aufgeführt sein.

Logs für Weiterleitungen ansehen

Die Logdateien des Google Security Operations-Weiterleiters werden im Ordner C:\Windows\Temp gespeichert. Die Logdateien beginnen mit chronicle_forwarder.exe.win-forwarder. Die Protokolldateien enthalten eine Vielzahl von Informationen, z. B. wann der Weiterleiter gestartet wurde und wann er mit dem Senden von Daten an Google Cloud begonnen hat.

Google Security Operations-Weiterleitung deinstallieren

So deinstallieren Sie den Google Security Operations-Weiterleitungsdienst:

1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

2. Beenden Sie den Google Security Operations-Weiterleitungsdienst:

   SERVICE_NAME: chronicle_forwarder
   TYPE               : 10  WIN32_OWN_PROCESS
   STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
   WIN32_EXIT_CODE    : 0  (0x0)
   SERVICE_EXIT_CODE  : 0  (0x0)
   CHECKPOINT         : 0x0
   WAIT_HINT          : 0x0
   

3. Rufen Sie das Verzeichnis C:\Windows\system32\ChronicleForwarder auf und deinstallieren Sie den Google Security Operations-Weiterleitungsdienst: C:\> .\chronicle_forwarder.exe -uninstall

Google Security Operations-Weiterleitung aktualisieren

So führen Sie ein Upgrade des Google Security Operations-Weiterleitungsservers durch und verwenden weiterhin Ihre aktuelle Konfigurationsdatei:

1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

2. Kopieren Sie die Konfigurationsdatei aus dem Verzeichnis C:\Windows\system32\ChronicleForwarder in ein anderes Verzeichnis.

3. Beenden Sie den Google Security Operations-Weiterleiter:

   C:\> sc.exe stop chronicle_forwarder
   

4. Deinstallieren Sie den Google Security Operations-Weiterleitungsdienst und die Anwendung:

   C:\> .\chronicle_forwarder.exe --uninstall
   

5. Löschen Sie alle Dateien im Verzeichnis C:\windows\system32\ChronicleForwarder.

6. Kopieren Sie die neue chronicle_forwarder.exe-Anwendung und die ursprüngliche Konfigurationsdatei in ein Arbeitsverzeichnis.

7. Führen Sie im Arbeitsverzeichnis den folgenden Befehl aus:

   C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
   

8. Dienst starten:

   C:\ sc.exe start chronicle_forwarder
   

Splunk-Daten erheben

Wenden Sie sich an den Support von Google Security Operations, um die Konfigurationsdatei des Google Security Operations-Weiterleitungsservers so zu aktualisieren, dass Ihre Splunk-Daten an Google Cloud weitergeleitet werden.

Syslog-Daten erfassen

Der Google Security Operations-Weiterleiter kann als syslog-Server verwendet werden. Das bedeutet, dass Sie jede Appliance oder jeden Server, die bzw. der das Senden von syslog-Daten über eine TCP- oder UDP-Verbindung unterstützt, so konfigurieren können, dass die Daten an den Google Security Operations-Weiterleiter weitergeleitet werden. Sie können genau festlegen, welche Daten die Appliance oder der Server an den Google Security Operations-Weiterleiter sendet, der die Daten dann an Google Cloud weiterleiten kann.

In der Konfigurationsdatei des Google Security Operations-Weiterleitungsservers wird angegeben, welche Ports für jede Art von weitergeleiteten Daten überwacht werden sollen (z. B. Port 10514). Standardmäßig akzeptiert der Google Security Operations-Weiterleiter sowohl TCP- als auch UDP-Verbindungen. Wenden Sie sich an den Google Security Operations-Support, um die Konfigurationsdatei des Google Security Operations-Weiterleitungsservers für die Unterstützung von syslog zu aktualisieren.

Datenkomprimierung aktivieren/deaktivieren

Durch die Protokollkomprimierung wird die Netzwerkbandbreitennutzung bei der Übertragung von Protokollen an Google Security Operations reduziert. Die Komprimierung kann jedoch zu einer höheren CPU-Auslastung führen. Der Kompromiss zwischen CPU-Nutzung und Bandbreite hängt von vielen Faktoren ab, z. B. von der Art der Protokolldaten, der Komprimierbarkeit dieser Daten, der Verfügbarkeit von CPU-Zyklen auf dem Host, auf dem der Weiterleiter ausgeführt wird, und der Notwendigkeit, die Netzwerkbandbreitennutzung zu reduzieren.

Textbasierte Protokolle lassen sich beispielsweise gut komprimieren und können bei geringer CPU-Auslastung erhebliche Bandbreiteneinsparungen erzielen. Verschlüsselte Nutzlasten von Rohpaketen lassen sich jedoch nicht gut komprimieren und verursachen eine höhere CPU-Auslastung.

Da die meisten vom Forwarding-Agenten aufgenommenen Protokolltypen effizient komprimiert werden können, ist die Protokollkomprimierung standardmäßig aktiviert, um den Bandbreitenverbrauch zu reduzieren. Wenn die erhöhte CPU-Auslastung jedoch den Vorteil der Bandbreiteneinsparung überwiegt, können Sie die Komprimierung deaktivieren, indem Sie in der Konfigurationsdatei des Google Security Operations-Weiterleiters das Feld compression auf false setzen, wie im folgenden Beispiel gezeigt:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

TLS für syslog-Konfigurationen aktivieren

Sie können Transport Layer Security (TLS) für die syslog-Verbindung zum Google Security Operations-Weiterleiter aktivieren. Geben Sie in der Konfigurationsdatei des Google Security Operations-Weiterleitungsservers den Speicherort Ihres Zertifikats und Zertifikatsschlüssels an, wie im folgenden Beispiel gezeigt:

Basierend auf dem Beispiel würde die Google Security Operations-Weiterleitungskonfiguration so geändert:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Sie können im Konfigurationsverzeichnis ein Verzeichnis „certs“ erstellen und die Zertifikatdateien dort speichern.

Paketdaten erfassen

Der Google Security Operations-Weiterleiter kann Pakete unter Windows-Systemen mit Npcap direkt von einer Netzwerkschnittstelle erfassen.

Pakete werden erfasst und anstelle von Logeinträgen an Google Cloud gesendet. Die Erfassung erfolgt nur über eine lokale Benutzeroberfläche.

Wenden Sie sich an den Google Security Operations-Support, um die Konfigurationsdatei des Google Security Operations-Weiterleiters für die Paketerfassung zu aktualisieren.

Zum Ausführen eines PCAP-Weiterleitungsprogramms (Packet Capture) benötigen Sie Folgendes:

• Installieren Sie Npcap auf dem Microsoft Windows-Host.

• Gewähren Sie dem Google Security Operations-Weiterleiter Root- oder Administratorberechtigungen, um die Netzwerkschnittstelle zu überwachen.

• Es sind keine Befehlszeilenoptionen erforderlich.

• Aktivieren Sie bei der Npcap-Installation den WinPcap-Kompatibilitätsmodus.

Zum Konfigurieren eines PCAP-Weiterleiters benötigt Google Cloud die GUID für die Schnittstelle, die zum Erfassen von Paketen verwendet wird. Führen Sie getmac.exe auf dem Computer aus, auf dem Sie den Google Security Operations-Weiterleiter installieren möchten (entweder auf dem Server oder auf dem Computer, der auf den Span-Port wartet), und senden Sie die Ausgabe an Google Security Operations.

Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den PCAP-Abschnitt und ersetzen Sie den GUID-Wert neben „interface“ durch die GUID, die durch Ausführen von getmac.exe angezeigt wird.

Hier ist beispielsweise ein Original-PCAP-Abschnitt:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Hier ist die Ausgabe des Befehls getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Und hier ist der überarbeitete PCAP-Abschnitt mit der neuen GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

WebProxy-Daten erheben

Der Google Security Operations-Weiterleiter kann Webproxy-Daten direkt über eine Netzwerkschnittstelle mit Npcap erfassen und an Google Cloud senden.

Wenn Sie die Webproxy-Datenerhebung für Ihr System aktivieren möchten, wenden Sie sich an den Google Security Operations-Support.

Führen Sie die folgenden Schritte aus, bevor Sie einen WebProxy-Weiterleiter ausführen:

1. Installieren Sie Npcap auf dem Microsoft Windows-Host. Aktivieren Sie während der Installation den WinPcap-Kompatibilitätsmodus.

2. Gewähren Sie dem Google Security Operations-Weiterleiter Root- oder Administratorberechtigungen, um die Netzwerkschnittstelle zu überwachen.

3. Zur Konfiguration eines WebProxy-Weiterleiters benötigt Google Cloud die GUID für die Schnittstelle, mit der die WebProxy-Pakete erfasst werden.

   Führen Sie getmac.exe auf dem Computer aus, auf dem Sie den Google Security Operations-Weiterleiter installieren möchten, und senden Sie die Ausgabe an Google Security Operations. Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den Abschnitt „WebProxy“ und ersetzen Sie die GUID neben der Schnittstelle durch die GUID, die nach dem Ausführen von getmac.exe angezeigt wird.

   Ändern Sie die Konfigurationsdatei des Google Security Operations-Weiterleitungsservers (FORWARDER_NAME.conf) so:

     - webproxy:
       common:
           enabled : true
           data_type: <Your LogType>
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
         bpf: tcp and dst port 80