Executável do encaminhador do Google Security Operations para Windows

Compatível com:

Este documento descreve como instalar e configurar o forwarder de operações de segurança do Google no Microsoft Windows.

Personalizar os arquivos de configuração

Com base nas informações enviadas antes da implantação, o Google Cloud fornece um arquivo executável e um arquivo de configuração opcional para o forwarder das operações de segurança do Google. O arquivo executável só pode ser executado no host para o qual foi configurado. Cada arquivo executável inclui uma configuração específica para a instância de encaminhamento das operações de segurança do Google na sua rede. Se você precisar alterar a configuração, entre em contato com o Suporte do Google Security Operations.

Requisitos do sistema

Confira a seguir as recomendações gerais. Para recomendações específicas do seu sistema, entre em contato com o suporte do Google Security Operations.

  • Versão do Windows Server: o forwarder de operações de segurança do Google é compatível com as seguintes versões do Microsoft Windows Server:

    • 2008 R2

    • 2012 R2

    • 2016

  • RAM: 1,5 GB para cada tipo de dados coletado. Por exemplo, a detecção e resposta de endpoints (EDR), o DNS e o DHCP são tipos de dados separados. Você precisa de 4,5 GB de RAM para coletar dados para os três.

  • CPU: 2 CPUs são suficientes para processar menos de 10.000 eventos por segundo (EPS) (total para todos os tipos de dados). Se você espera encaminhar mais de 10.000 EPS, são necessárias de 4 a 6 CPUs.

  • Disco: são necessários 20 GB de espaço em disco, independentemente da quantidade de dados processados pelo encaminhador do Google Security Operations. O forwarder de operações de segurança do Google não armazena em buffer no disco por padrão, mas é recomendável ativar o armazenamento em buffer no disco. É possível armazenar o disco em buffer adicionando os parâmetros write_to_disk_buffer_enabled e write_to_disk_dir_path no arquivo de configuração.

    Exemplo:

    - <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...

Intervalos de endereços IP do Google

Talvez seja necessário abrir o intervalo de endereços IP ao configurar um encaminhador do Google Security Operations, como ao configurar o firewall. Não é possível fornecer uma lista específica de endereços IP. No entanto, é possível acessar intervalos de endereços IP do Google.

Verificar a configuração do firewall

Se você tiver firewalls ou proxies autenticados entre o contêiner de encaminhamento das operações de segurança do Google e a Internet, eles precisarão de regras para permitir o acesso aos seguintes hosts do Google Cloud:

Tipo de conexão Destino Port
TCP malachiteingestion-pa.googleapis.com 443
TCP asia-northeast1-malachiteingestion-pa.googleapis.com 443
TCP asia-south1-malachiteingestion-pa.googleapis.com 443
TCP asia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP australia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP europe-malachiteingestion-pa.googleapis.com 443
TCP europe-west2-malachiteingestion-pa.googleapis.com 443
TCP europe-west3-malachiteingestion-pa.googleapis.com 443
TCP europe-west6-malachiteingestion-pa.googleapis.com 443
TCP europe-west9-malachiteingestion-pa.googleapis.com 443
TCP europe-west12-malachiteingestion-pa.googleapis.com 443
TCP me-central1-malachiteingestion-pa.googleapis.com 443
TCP me-central2-malachiteingestion-pa.googleapis.com 443
TCP me-west1-malachiteingestion-pa.googleapis.com 443
TCP northamerica-northeast2-malachiteingestion-pa.googleapis.com 443
TCP southamerica-east1-malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443
TCP gcr.io 443
TCP cloud.google.com/artifact-registry 443
TCP oauth2.googleapis.com 443
TCP storage.googleapis.com 443

Para verificar a conectividade de rede ao Google Cloud, siga estas etapas:

  1. Inicie o Windows PowerShell com privilégios de administrador. Para isso, clique em Iniciar, digite PowerShell, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como administrador.

  2. Execute o comando a seguir. TcpTestSucceeded precisa retornar verdadeiro.

    C:\> test-netconnection <host> -port <port>

    Exemplo:

    C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Você também pode usar o encaminhador do Google Security Operations para verificar a conectividade da rede:

  1. Inicie o prompt de comando com privilégios de administrador. Para isso, clique em Iniciar, digite Command Prompt, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador.

  2. Para verificar a conectividade da rede, execute o encaminhador do Google Security Operations com a opção -test.

    C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!

Instalar o encaminhador das Operações de segurança do Google no Windows

No Windows, o executável do encaminhador das Operações de segurança do Google precisa ser instalado como um serviço.

  1. Copie o arquivo chronicle_forwarder.exe e o arquivo de configuração para um diretório de trabalho.

  2. Inicie o prompt de comando com privilégios de administrador. Para isso, clique em Iniciar, digite Command Prompt, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador.

  3. Para instalar o serviço, navegue até o diretório de trabalho criado na etapa 1 e execute o seguinte comando:

    C:\> .\chronicle_forwarder.exe -install -config FILE_NAME

    Substitua FILE_NAME pelo nome do arquivo de configuração fornecido.

    O serviço está instalado em C:\Windows\system32\ChronicleForwarder.

  4. Para iniciar o serviço, execute o seguinte comando:

    C:\> sc.exe start chronicle_forwarder

Verificar se o encaminhador do Google Security Operations está em execução

O encaminhador do Google Security Operations precisa ter uma conexão de rede aberta na porta 443, e seus dados precisam aparecer na interface da Web do Google Security Operations em poucos minutos.

É possível verificar se o encaminhador de operações de segurança do Google está em execução usando um dos seguintes métodos:

  • Gerenciador de tarefas: acesse a guia Processos > Processos em segundo plano > chronicle_forwarder.

  • Monitor de recursos: na guia Rede, o aplicativo chronicle_forwarder.exe precisa estar listado em Atividade de rede (sempre que o aplicativo chronicle_forwarder.exe se conectar ao Google Cloud), em Conexões TCP e em Portas de escuta.

Conferir registros do encaminhador

Os arquivos de registro do encaminhador do Google Security Operations são armazenados na pasta C:\Windows\Temp. Os arquivos de registro começam com chronicle_forwarder.exe.win-forwarder. Os arquivos de registro fornecem várias informações, incluindo quando o encaminhador foi iniciado e quando ele começou a enviar dados para o Google Cloud.

Desinstalar o encaminhador do Google Security Operations

Para desinstalar o serviço de encaminhamento de operações de segurança do Google, siga estas etapas:

  1. Abra o prompt de comando no modo de administrador.

  2. Interrompa o serviço de encaminhamento do Google Security Operations:

    SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

  3. Navegue até o diretório C:\Windows\system32\ChronicleForwarder e desinstale o serviço de encaminhamento do Google Security Operations: C:\> .\chronicle_forwarder.exe -uninstall

Fazer upgrade do forwarder do Google Security Operations

Para fazer upgrade do forwarder de operações de segurança do Google e continuar usando seu arquivo de configuração atual, siga estas etapas:

  1. Abra o prompt de comando no modo de administrador.

  2. Copie o arquivo de configuração do diretório C:\Windows\system32\ChronicleForwarder para outro.

  3. Interromper o encaminhador do Google Security Operations:

    C:\> sc.exe stop chronicle_forwarder

  4. Desinstale o serviço e o aplicativo de encaminhamento do Google Security Operations:

    C:\> .\chronicle_forwarder.exe --uninstall

  5. Exclua todos os arquivos no diretório C:\windows\system32\ChronicleForwarder.

  6. Copie o novo aplicativo chronicle_forwarder.exe e o arquivo de configuração original para um diretório de trabalho.

  7. No diretório de trabalho, execute o seguinte comando:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

  8. Inicie o serviço:

    C:\ sc.exe start chronicle_forwarder

Coletar dados do Splunk

Entre em contato com o suporte do Google Security Operations para atualizar o arquivo de configuração do forwarder do Google Security Operations e encaminhar os dados do Splunk para o Google Cloud.

Coletar dados do Syslog

O encaminhador de operações de segurança do Google pode operar como um servidor syslog. Isso significa que você pode configurar qualquer dispositivo ou servidor compatível com o envio de dados syslog por uma conexão TCP ou UDP para encaminhar os dados ao encaminhador de operações de segurança do Google. É possível controlar exatamente quais dados o dispositivo ou servidor envia ao encaminhador do Google Security Operations, que pode encaminhar os dados para o Google Cloud.

O arquivo de configuração do forwarder do Google Security Operations especifica quais portas monitorar para cada tipo de dados encaminhados (por exemplo, a porta 10514). Por padrão, o encaminhador das Operações de segurança do Google aceita conexões TCP e UDP. Entre em contato com o suporte do Google Security Operations para atualizar o arquivo de configuração do encaminhador do Google Security Operations e oferecer suporte ao syslog.

Alternar a compactação de dados

A compactação de registros reduz o consumo de largura de banda da rede ao transferir registros para o Google Security Operations. No entanto, a compactação pode aumentar o uso da CPU. O trade-off entre o uso da CPU e a largura de banda depende de muitos fatores, incluindo o tipo de dados de registro, a compressibilidade desses dados, a disponibilidade de ciclos de CPU no host que executa o forwarder e a necessidade de reduzir o consumo de largura de banda da rede.

Por exemplo, os registros baseados em texto são bem compactados e podem economizar bastante largura de banda com baixo uso da CPU. No entanto, as cargas úteis criptografadas de pacotes brutos não são compactadas bem e geram um uso maior da CPU.

Como a maioria dos tipos de registro ingeridos pelo encaminhador são compactados de forma eficiente, a compactação de registros é ativada por padrão para reduzir o consumo de largura de banda. No entanto, se o aumento do uso da CPU for maior que o benefício da economia de largura de banda, você poderá desativar a compactação definindo o campo compression como false no arquivo de configuração do encaminhador de operações de segurança do Google, conforme mostrado no exemplo a seguir:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Ativar o TLS para configurações do syslog

É possível ativar o Transport Layer Security (TLS) para a conexão do syslog com o encaminhador de Operações de segurança do Google. No arquivo de configuração do forwarder das operações de segurança do Google, especifique o local do certificado e da chave de certificado, conforme mostrado no exemplo abaixo:

certificado C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem
certificate_key C:/opt/chronicle/external/certs/forwarder.key

Com base no exemplo mostrado, a configuração do encaminhador do Google Security Operations seria modificada da seguinte maneira:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

É possível criar um diretório de certificados no diretório de configuração e armazenar os arquivos de certificado nele.

Coletar dados de pacotes

O encaminhador de operações de segurança do Google pode capturar pacotes diretamente de uma interface de rede usando o Npcap em sistemas Windows.

Os pacotes são capturados e enviados para o Google Cloud em vez de entradas de registro. A captura é feita apenas em uma interface local.

Entre em contato com o suporte do Google Security Operations para atualizar o arquivo de configuração do forwarder do Google Security Operations e oferecer suporte à captura de pacotes.

Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:

  • Instale o Npcap no host do Microsoft Windows.

  • Conceda privilégios de administrador ou raiz ao encaminhador do Google Security Operations para monitorar a interface de rede.

  • Nenhuma opção de linha de comando é necessária.

  • Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.

Para configurar um encaminhador de PCAP, o Google Cloud precisa do GUID da interface usada para capturar pacotes. Execute getmac.exe na máquina em que você planeja instalar o encaminhador do Google Security Operations (o servidor ou a máquina que está escutando na porta de extensão) e envie a saída para o Google Security Operations.

Como alternativa, você pode modificar o arquivo de configuração. Localize a seção PCAP e substitua o valor do GUID mostrado ao lado da interface pelo GUID exibido ao executar o getmac.exe.

Por exemplo, aqui está uma seção original de PCAP:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Esta é a saída da execução de getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Por fim, aqui está a seção PCAP revisada com o novo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Coletar dados do WebProxy

O forwarder de operações de segurança do Google pode capturar dados do WebProxy diretamente de uma interface de rede usando o Npcap e enviá-los ao Google Cloud.

Para ativar a captura de dados do WebProxy no seu sistema, entre em contato com o suporte do Google Security Operations.

Antes de executar um encaminhador do WebProxy, faça o seguinte:

  1. Instale o Npcap no host do Microsoft Windows. Ative o modo de compatibilidade do WinPcap durante a instalação.

  2. Conceda privilégios de raiz ou administrador ao forwarder do Google Security Operations para monitorar a interface de rede.

  3. Para configurar um encaminhador do WebProxy, o Google Cloud precisa do GUID da interface usada para capturar os pacotes do WebProxy.

    Execute getmac.exe na máquina em que você quer instalar o encaminhador do Google Security Operations e envie a saída para o Google Security Operations. Você também pode modificar o arquivo de configuração. Localize a seção "WebProxy" e substitua o GUID exibido ao lado da interface pelo GUID exibido após a execução de getmac.exe.

    Modifique o arquivo de configuração do forwarder do Google Security Operations (FORWARDER_NAME.conf) da seguinte maneira:

      - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80