Windows용 Google Security Operations 전달자 실행 파일

이 문서에서는 Microsoft Windows에서 Google Security Operations 전달자를 설치하고 구성하는 방법을 설명합니다.

구성 파일 맞춤설정

배포 전에 제출한 정보에 따라 Google Cloud는 Google Security Operations 전달자 실행 파일과 선택적인 구성 파일을 제공합니다. 실행 파일은 구성된 호스트에서만 실행해야 합니다. 각 실행 파일에는 네트워크의 Google Security Operations 전달자 인스턴스와 관련된 구성이 포함됩니다. 구성을 수정해야 하면 Google Security Operations 지원팀에 문의하세요.

시스템 요구사항

다음은 일반적인 권장사항입니다. 시스템별 권장사항은 Google Security Operations 지원팀에 문의하세요.

• Windows Server 버전: Google Security Operations 전달자는 다음 버전의 Microsoft Windows Server에서 지원됩니다.

  • 2008 R2

  • 2012 R2

  • 2016

• RAM: 각 수집된 데이터 유형별로 1.5GB가 필요합니다. 예를 들어 엔드포인트 감지 및 응답(EDR), DNS, DHCP는 모두 개별 데이터 유형입니다. 세 가지 모두 데이터를 수집하려면 4.5GB RAM이 필요합니다.

• CPU: 10,000보다 낮은 초당 이벤트(EPS) 수를 처리하려면 2개 CPU로 충분합니다(모든 데이터 유형 합계). 10,000 초과 EPS를 전달해야 하면 4~6개 CPU가 필요합니다.

• 디스크: Google Security Operations 전달자에서 처리하는 데이터 양에 관계없이 디스크 공간 100MB이면 충분합니다. Google Security Operations 전달자는 기본적으로 디스크 버퍼링을 사용하지 않습니다. 구성 파일에 write_to_disk_buffer_enabled 및 write_to_disk_dir_path 매개변수를 추가하여 디스크를 버퍼링할 수 있습니다.

  예를 들면 다음과 같습니다.

  - <collector>:
       common:
           ...
           write_to_disk_buffer_enabled: true
           write_to_disk_dir_path: <var>your_path</var>
           ...
  

Google IP 주소 범위

방화벽 구성을 설정할 때와 같이 Google Security Operations 전달자 구성을 설정할 때 IP 주소 범위를 열어야 할 수 있습니다. Google은 특정 IP 주소 목록을 제공할 수 없습니다. 하지만 Google IP 주소 범위를 가져올 수 있습니다.

방화벽 구성 확인

Google Security Operations 전달자 컨테이너와 인터넷 사이에 방화벽이나 인증된 프록시가 있으면 다음 Google Cloud 호스트에 대한 액세스 허용 규칙이 필요합니다.

다음 단계를 사용하여 Google Cloud에 대한 네트워크 연결을 확인할 수 있습니다.

1. 관리자 권한으로 Windows PowerShell을 시작합니다(시작을 클릭하고 PowerShell을 입력한 다음 Windows PowerShell을 마우스 오른쪽 버튼으로 클릭하고 관리자로 실행을 클릭).

2. 다음 명령어를 실행합니다. TcpTestSucceeded는 true를 반환해야 합니다.

   C:\> test-netconnection <host> -port <port>

   예를 들면 다음과 같습니다.

   C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
   ComputerName     : malchiteingestion-pa.googleapis.com
   RemoteAddress    : 198.51.100.202
   RemotePort       : 443
   InterfaceAlias   : Ethernet
   SourceAddress    : 10.168.0.2
   TcpTestSucceeded : True
   

또한 Google Security Operations 전달자를 사용하여 네트워크 연결을 확인할 수 있습니다.

1. 관리자 권한으로 명령 프롬프트를 시작합니다(시작을 클릭하고 Command Prompt를 입력하고 명령 프롬프트를 마우스 오른쪽 버튼으로 클릭한 다음 관리자 권한으로 실행을 클릭).

2. 네트워크 연결을 확인하려면 -test 옵션을 사용하여 Google Security Operations 전달자를 실행합니다.

   C:\> .\chronicle_forwarder.exe -test
   Verify network connection succeeded!
   

Windows에 Google Security Operations 전달자 설치

Windows에서는 Google Security Operations 전달자 실행 파일을 서비스로 설치해야 합니다.

1. chronicle_forwarder.exe 파일과 구성 파일을 작업 디렉터리에 복사합니다.

2. 관리자 권한으로 명령 프롬프트를 시작합니다(시작을 클릭하고 Command Prompt를 입력하고 명령 프롬프트를 마우스 오른쪽 버튼으로 클릭한 다음 관리자 권한으로 실행을 클릭).

3. 서비스를 설치하기 위해 1단계에서 만든 작업 디렉터리로 이동하고 다음 명령어를 실행합니다.

   C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
   

   FILE_NAME을 제공된 구성 파일의 이름으로 바꿉니다.

   서비스가 C:\Windows\system32\ChronicleForwarder에 설치됩니다.

4. 서비스를 시작하려면 다음 명령어를 실행합니다.

   C:\> sc.exe start chronicle_forwarder
   

Google Security Operations 전달자가 실행 중인지 확인

Google Security Operations 전달자의 네트워크 연결이 포트 443에서 열리고 수 분 내에 데이터가 Google Security Operations 웹 인터페이스에 표시되어야 합니다.

다음 방법 중 하나를 사용하여 Google Security Operations 전달자가 실행 중인지 확인할 수 있습니다.

• 작업 관리자: 프로세스 탭 > 백그라운드 프로세스 > chronicle_forwarder로 이동합니다.

• 리소스 모니터: 네트워크 탭의 chronicle_forwarder.exe 애플리케이션이 네트워크 활동(chronicle_forwarder.exe 애플리케이션이 Google Cloud에 연결될 때마다) 아래, TCP 연결 아래, 수신 포트에 표시됩니다.

전달자 로그 보기

Google Security Operations 전달자 로그 파일은 C:\Windows\Temp 폴더에 저장됩니다. 로그 파일은 chronicle_forwarder.exe.win-forwarder로 시작합니다. 로그 파일은 전달자가 시작된 시간 및 Google Cloud로 데이터 전송을 시작한 시간을 포함하여 다양한 정보를 제공합니다.

Google Security Operations 전달자 제거

Google Security Operations 전달자 서비스를 제거하려면 다음 단계를 완료합니다.

1. 관리자 모드에서 명령 프롬프트를 엽니다.

2. Google Security Operations 전달자 서비스를 중지합니다.

   SERVICE_NAME: chronicle_forwarder
   TYPE               : 10  WIN32_OWN_PROCESS
   STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
   WIN32_EXIT_CODE    : 0  (0x0)
   SERVICE_EXIT_CODE  : 0  (0x0)
   CHECKPOINT         : 0x0
   WAIT_HINT          : 0x0
   

3. C:\Windows\system32\ChronicleForwarder 디렉터리로 이동하고 C:\> .\chronicle_forwarder.exe -uninstall을 실행하여 Google Security Operations 전달자 서비스를 제거합니다.

Google Security Operations 전달자 업그레이드

현재 구성 파일을 계속 사용하면서 Google Security Operations 전달자를 업그레이드하려면 다음 단계를 완료합니다.

1. 관리자 모드에서 명령 프롬프트를 엽니다.

2. 구성 파일을 C:\Windows\system32\ChronicleForwarder 디렉터리에서 다른 디렉터리로 복사합니다.

3. Google Security Operations 전달자를 중지합니다.

   C:\> sc.exe stop chronicle_forwarder
   

4. Google Security Operations 전달자 서비스와 애플리케이션을 제거합니다.

   C:\> .\chronicle_forwarder.exe --uninstall
   

5. C:\windows\system32\ChronicleForwarder 디렉터리의 모든 파일을 삭제합니다.

6. 새 chronicle_forwarder.exe 애플리케이션과 원본 구성 파일을 작업 디렉터리에 복사합니다.

7. 작업 디렉터리에서 다음 명령어를 실행합니다.

   C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
   

8. 서비스를 시작합니다.

   C:\ sc.exe start chronicle_forwarder
   

Splunk 데이터 수집

Google Security Operations 지원팀에 문의하여 Splunk 데이터가 Google Cloud에 전달되도록 Google Security Operations 전달자 구성 파일을 업데이트합니다.

syslog 데이터 수집

Google Security Operations 전달자는 syslog 서버로 작동할 수 있습니다. 즉, 데이터가 Google Security Operations 전달자로 전달되도록 syslog 데이터를 TCP 또는 UDP 연결을 통해 전송할 수 있는 모든 어플라이언스나 서버를 구성할 수 있습니다. 어플라이언스나 서버에서 Google Security Operations 전달자에 전송한 후 Google Cloud로 전달할 수 있는 데이터를 정확하게 제어할 수 있습니다.

Google Security Operations 전달자 구성 파일은 각 유형의 전달된 데이터를 모니터링할 포트를 지정합니다(예: 포트 10514). 기본적으로 Google Security Operations 전달자는 TCP 및 UDP 연결 모두 허용합니다. Google Security Operations 지원팀에 문의하여 syslog가 지원되도록 Google Security Operations 전달자 구성 파일을 업데이트합니다.

데이터 압축 전환

로그 압축은 로그를 Google Security Operations로 전송할 때 네트워크 대역폭 소비를 줄여줍니다. 하지만 압축은 CPU 사용을 늘립니다. CPU 사용과 대역폭 사이의 적정 지점은 로그 데이터 유형, 데이터의 압축 가능성, 전달자를 실행하는 호스트에서 CPU 주기 가용성, 네트워크 대역폭 소비 감소 요구와 같은 여러 요인들에 따라 달라집니다.

예를 들어 텍스트 기반 로그는 압축이 잘 되고, 적은 CPU 사용으로도 대역폭을 크게 절약할 수 있습니다. 하지만 원시 패킷의 암호화된 페이로드는 압축이 잘 되지 않고 CPU 사용이 늘어납니다.

전달자에서 수집되는 로그 유형 대부분이 압축 효율이 높으므로, 대역폭 소비를 줄이기 위해 기본적으로 로그 압축이 사용 설정되어 있습니다. 하지만 CPU 사용 증가가 대역폭 절약 이점보다 커지면 다음 예시와 같이 Google Security Operations 전달자 구성 파일에서 compression 필드를 false로 설정하여 압축을 중지할 수 있습니다.

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

syslog 구성에 TLS 사용 설정

Google Security Operations 전달자에 대한 syslog 연결에 전송 계층 보안(TLS)을 사용 설정할 수 있습니다. 다음 예시와 같이 Google Security Operations 전달자 구성 파일에서 인증서와 인증서 키의 위치를 지정합니다.

표시된 예시에 따라 Google Security Operations 전달자 구성은 다음과 같이 수정됩니다.

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

구성 디렉터리 아래에 certs 디렉터리를 만들고 여기에 인증서 파일을 저장할 수 있습니다.

패킷 데이터 수집

Google Security Operations 전달자는 Windows 시스템에서 Npcap을 사용하여 네트워크 인터페이스에서 직접 패킷을 캡처할 수 있습니다.

패킷이 캡처되고 로그 항목 대신 Google Cloud로 전송됩니다. 캡처는 로컬 인터페이스에서만 수행됩니다.

Google Security Operations 지원팀에 문의하여 패킷 캡처가 지원되도록 Google Security Operations 전달자 구성 파일을 업데이트합니다.

패킷 캡처(PCAP) 전달자를 실행하려면 다음이 필요합니다.

• Microsoft Windows 호스트에 Npcap을 설치합니다.

• Google Security Operations 전달자에 네트워크 인터페이스를 모니터링할 수 있는 루트 또는 관리자 권한을 부여합니다.

• 명령줄 옵션은 필요하지 않습니다.

• Npcap 설치에서 WinPcap 호환성 모드를 사용 설정합니다.

PCAP 전달자를 구성하려면 Google Cloud에서 패킷 캡처에 사용되는 인터페이스에 대해 GUID가 필요합니다. Google Security Operations 전달자를 설치할 머신(서버 또는 스팬 포트로 리슨하는 머신)에서 getmac.exe를 실행하고 출력을 Google Security Operations로 전송합니다.

또는 구성 파일을 수정할 수 있습니다. PCAP 섹션을 찾고 인터페이스 옆에 표시된 GUID 값을 getmac.exe를 실행하여 표시된 GUID로 바꿉니다.

예를 들어 원본 PCAP 섹션은 다음과 같습니다.

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

다음은 getmac.exe를 실행한 출력입니다.

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

마지막으로 새 GUID가 포함된 수정된 PCAP 섹션은 다음과 같습니다.

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

WebProxy 데이터 수집

Google Security Operations 전달자는 Npcap을 사용하여 네트워크 인터페이스에서 직접 WebProxy 데이터를 캡처하여 Google Cloud로 전송할 수 있습니다.

시스템에서 WebProxy 데이터 캡처를 사용 설정하려면 Google Security Operations 지원팀에 문의하세요.

WebProxy 전달자를 실행하기 전에 다음을 수행합니다.

1. Microsoft Windows 호스트에 Npcap을 설치합니다. 설치 중에 WinPcap 호환성 모드를 사용 설정합니다.

2. Google Security Operations 전달자에 네트워크 인터페이스를 모니터링할 수 있는 루트 또는 관리자 권한을 부여합니다.

3. WebProxy 전달자를 구성하려면 Google Cloud에서 WebProxy 패킷을 캡처하는 데 사용되는 인터페이스에 대해 GUID가 필요합니다.

   Google Security Operations 전달자를 설치할 머신에서 getmac.exe를 실행하고 출력을 Google Security Operations로 전송합니다. 또는 구성 파일을 수정할 수 있습니다. WebProxy 섹션을 찾고 getmac.exe를 실행한 후 인터페이스 옆에 표시된 GUID를 표시된 GUID로 바꿉니다.

   Google Security Operations 전달자 구성(FORWARDER_NAME.conf) 파일을 다음과 같이 수정합니다.

     - webproxy:
       common:
           enabled : true
           data_type: <Your LogType>
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
         bpf: tcp and dst port 80