Ausführbare Google Security Operations-Weiterleitung für Windows

In diesem Dokument wird beschrieben, wie Sie den Google Security Operations-Forwarder unter Microsoft installieren und konfigurieren. Windows

Konfigurationsdateien anpassen

Basierend auf den Informationen, die Sie vor der Bereitstellung eingereicht haben, erhalten Sie eine ausführbare Datei und eine optionale Konfigurationsdatei für das Google Security Operations-Weiterleitung Die ausführbare Datei darf nur auf dem Host ausgeführt werden, auf dem sie konfiguriert wurde. Jede ausführbare Datei enthält eine Konfiguration, die für die Google Security Operations-Weiterleitungsinstanz in Ihrem Netzwerk spezifisch ist. Wenn Sie die Konfiguration ändern müssen, wenden Sie sich an den Support von Google Security Operations.

Systemanforderungen

Im Folgenden finden Sie allgemeine Empfehlungen. Für Empfehlungen speziell für Ihre wenden Sie sich bitte an den Support von Google Security Operations.

• Windows Server-Version: Die Google Security Operations-Weiterleitung wird unterstützt unter den folgenden Versionen von Microsoft Windows Server:

  • 2008 R2

  • 2012 R2

  • 2016

• RAM: 1,5 GB für jeden erfassten Datentyp. Beispiel: Endpunkterkennung und -abwehr (EDR), DNS und DHCP sind alles verschiedene Datentypen. Sie benötigen 4,5 GB RAM, um Daten für alle drei zu erfassen.

• CPU: 2 CPUs sind ausreichend,um weniger als 10.000 Ereignisse pro Sekunde (EPS) zu verarbeiten (insgesamt allen Datentypen). Wenn Sie mehr als 10.000 EPS weiterleiten möchten, sind 4 bis 6 CPUs erforderlich.

• Laufwerk: 100 MB Speicherplatz sind ausreichend, unabhängig davon, wie viele Daten der Google Security Operations-Forwarder Aliasse. Der Google Security Operations-Forwarder puffert standardmäßig nicht das Laufwerk. Sie können das Laufwerk zwischenspeichern, indem Sie die Parameter write_to_disk_buffer_enabled und write_to_disk_dir_path in der Konfigurationsdatei hinzufügen.

  Beispiel:

  - <collector>:
       common:
           ...
           write_to_disk_buffer_enabled: true
           write_to_disk_dir_path: <var>your_path</var>
           ...
  

Google-IP-Adressbereiche

Möglicherweise müssen Sie den IP-Adressbereich öffnen, wenn Sie eine Google Security Operations-Weiterleitungskonfiguration einrichten, z. B. bei der Konfiguration Ihrer Firewall. Google kann keine spezifische Liste mit IP-Adressen zur Verfügung stellen. Sie können jedoch IP-Adressbereiche von Google abrufen.

Firewallkonfiguration prüfen

Wenn sich zwischen dem Google Security Operations-Weiterleitungscontainer und dem Internet Firewalls oder authentifizierte Proxys befinden, sind Regeln erforderlich, um den Zugriff auf die folgenden Google Cloud-Hosts zu ermöglichen:

Mit den folgenden Schritten können Sie die Netzwerkverbindung zu Google Cloud prüfen:

1. Starten Sie Windows PowerShell mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie PowerShell ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell und klicken Sie dann auf Als Administrator ausführen.

2. Führen Sie den folgenden Befehl aus: TcpTestSucceeded sollte „true“ zurückgeben.

   C:\> test-netconnection <host> -port <port>

   Beispiel:

   C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
   ComputerName     : malchiteingestion-pa.googleapis.com
   RemoteAddress    : 198.51.100.202
   RemotePort       : 443
   InterfaceAlias   : Ethernet
   SourceAddress    : 10.168.0.2
   TcpTestSucceeded : True
   

Sie können auch den Google Security Operations-Weiterleiter verwenden, um die Netzwerkverbindung zu prüfen:

1. Starten Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und klicken Sie dann auf Als Administrator ausführen.

2. Führen Sie die Google Security Operations-Weiterleitung mit der Option -test aus, um die Netzwerkverbindung zu prüfen.

   C:\> .\chronicle_forwarder.exe -test
   Verify network connection succeeded!
   

Google Security Operations-Weiterleitung unter Windows installieren

Unter Windows muss die ausführbare Google Security Operations-Weiterleitung als Dienst installiert werden.

1. Kopieren Sie die Datei chronicle_forwarder.exe und die Konfigurationsdatei in ein Arbeitsverzeichnis.

2. Starten Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und klicken Sie dann auf Als Administrator ausführen.

3. Rufen Sie zum Installieren des Dienstes das Arbeitsverzeichnis auf, das Sie in Schritt 1 erstellt haben, und führen Sie den folgenden Befehl aus:

   C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
   

   Ersetzen Sie FILE_NAME durch den Namen der Konfigurationsdatei. die Ihnen zur Verfügung gestellt werden.

   Der Dienst ist auf C:\Windows\system32\ChronicleForwarder installiert.

4. Führen Sie den folgenden Befehl aus, um den Dienst zu starten:

   C:\> sc.exe start chronicle_forwarder
   

Prüfen, ob der Google Security Operations-Forwarder ausgeführt wird

Der Google Security Operations-Forwarder sollte über Port 443 eine Netzwerkverbindung haben und Ihre Daten sollten innerhalb weniger Minuten auf der Google Security Operations-Weboberfläche angezeigt werden.

Sie können mit einer der folgenden Methoden prüfen, ob die Google Security Operations-Weiterleitung ausgeführt wird:

• Task-Manager: Rufen Sie den Tab Prozesse > Hintergrundprozesse > chronicle_forwarder auf.

• Ressourcenmonitor: Auf dem Tab Netzwerk sollte die chronicle_forwarder.exe-Anwendung unter Netzwerkaktivität (wenn die chronicle_forwarder.exe-Anwendung eine Verbindung zu Google Cloud herstellt), unter TCP-Verbindungen und unter „Warteschlangenports“ aufgeführt sein.

Forwarder-Logs ansehen

Die Logdateien des Google Security Operations-Weiterleiters werden im Ordner C:\Windows\Temp gespeichert. Die Logdateien beginnen mit chronicle_forwarder.exe.win-forwarder. Die Protokolldateien enthalten verschiedene Informationen, z. B. wann der Forwarder und wann Daten an Google Cloud gesendet wurden.

Google Security Operations-Weiterleitung deinstallieren

So deinstallieren Sie den Google Security Operations-Forwarder-Dienst:

1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

2. Beenden Sie den Google Security Operations-Weiterleitungsdienst:

   SERVICE_NAME: chronicle_forwarder
   TYPE               : 10  WIN32_OWN_PROCESS
   STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
   WIN32_EXIT_CODE    : 0  (0x0)
   SERVICE_EXIT_CODE  : 0  (0x0)
   CHECKPOINT         : 0x0
   WAIT_HINT          : 0x0
   

3. Rufen Sie das Verzeichnis C:\Windows\system32\ChronicleForwarder auf und deinstallieren Sie den Forwarder-Dienst C:\> .\chronicle_forwarder.exe -uninstall von Google Security Operations.

Google Security Operations-Forwarder aktualisieren

Führen Sie die folgenden Schritte aus, um die Google Security Operations-Weiterleitung zu aktualisieren, während Sie Ihre aktuelle Konfigurationsdatei weiter verwenden:

1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

2. Kopieren Sie Ihre Konfigurationsdatei aus dem Verzeichnis C:\Windows\system32\ChronicleForwarder in ein anderes Verzeichnis.

3. Beenden Sie die Google Security Operations-Weiterleitung:

   C:\> sc.exe stop chronicle_forwarder
   

4. Deinstallieren Sie den Forwarder-Dienst und die Anwendung für Google Security Operations:

   C:\> .\chronicle_forwarder.exe --uninstall
   

5. Löschen Sie alle Dateien im Verzeichnis C:\windows\system32\ChronicleForwarder.

6. Kopieren Sie die neue chronicle_forwarder.exe-Anwendung und die ursprüngliche Konfigurationsdatei in ein Arbeitsverzeichnis.

7. Führen Sie im Arbeitsverzeichnis den folgenden Befehl aus:

   C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
   

8. Dienst starten:

   C:\ sc.exe start chronicle_forwarder
   

Splunk-Daten erfassen

Wenden Sie sich an den Support von Google Security Operations, um Ihre Google Security Operations-Weiterleitung zu aktualisieren. Konfigurationsdatei, um Ihre Splunk-Daten an Google Cloud weiterzuleiten.

Syslog-Daten erfassen

Der Google Security Operations-Forwarder kann als Syslog-Server fungieren. Appliances oder Server konfigurieren, die das Senden von Syslog-Daten über eine TCP- oder UDP-Verbindung unterstützen um ihre Daten an den Google Security Operations-Forwarder weiterzuleiten. Sie können genau festlegen, Daten, die die Appliance oder der Server an den Google Security Operations-Forwarder sendet, der die Daten dann an Google Cloud weiterleiten kann.

Die Konfigurationsdatei für die Google Security Operations-Weiterleitung gibt an, welche Ports überwacht werden sollen jede Art weitergeleiteter Daten (z. B. Port 10514). Standardmäßig ist der Google Security Operations-Forwarder akzeptiert sowohl TCP- als auch UDP-Verbindungen. Wenden Sie sich an den Support von Google Security Operations, um Ihre Konfigurationsdatei für die Google Security Operations-Weiterleitung so zu aktualisieren, dass Syslog unterstützt wird.

Datenkomprimierung aktivieren/deaktivieren

Die Protokollkomprimierung reduziert den Verbrauch der Netzwerkbandbreite bei der Übertragung von Protokollen an Google Security Operations. Die Komprimierung kann jedoch zu einer erhöhten CPU-Auslastung führen. Der Kompromiss zwischen CPU-Nutzung Bandbreite hängt von vielen Faktoren ab, einschließlich der Art der Log-Daten, der Komprimierbarkeit die Verfügbarkeit von CPU-Zyklen auf dem Host, auf dem der Forwarder ausgeführt wird, und die Notwendigkeit Bandbreitenverbrauch des Netzwerks.

Textbasierte Protokolle lassen sich beispielsweise gut komprimieren und können bei geringer CPU-Auslastung erhebliche Bandbreiteneinsparungen erzielen. Verschlüsselte Nutzlasten von Rohpaketen werden jedoch nicht gut komprimiert eine höhere CPU-Auslastung.

Da die meisten vom Forwarding-Agenten aufgenommenen Protokolltypen effizient komprimiert werden können, ist die Protokollkomprimierung standardmäßig aktiviert, um den Bandbreitenverbrauch zu reduzieren. Wenn die erhöhte CPU-Auslastung dass die Nutzung den Vorteil der eingesparten Bandbreite überwiegt. Sie können die Komprimierung deaktivieren. indem Sie das Feld compression in der Konfigurationsdatei für die Google Security Operations-Weiterleitung auf false setzen, wie im folgenden Beispiel gezeigt:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

TLS für Syslog-Konfigurationen aktivieren

Sie können Transport Layer Security (TLS) für die Syslog-Verbindung zu Google Security Operations aktivieren Forwarder. Geben Sie in der Konfigurationsdatei der Google Security Operations-Weiterleitung die Speicherort Ihres Zertifikats und Zertifikatschlüssels, wie unten gezeigt Beispiel:

Basierend auf dem gezeigten Beispiel würde die Google Security Operations-Forwarder-Konfiguration wie folgt geändert werden:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Sie können unter dem Konfigurationsverzeichnis ein certs-Verzeichnis erstellen und die Zertifikatsdateien hinzufügen.

Paketdaten erfassen

Der Google Security Operations-Forwarder kann mithilfe von Npcap auf Windows-Systemen Pakete direkt von einer Netzwerkschnittstelle erfassen.

Pakete werden anstelle von Logeinträgen erfasst und an Google Cloud gesendet. Die Erfassung erfolgt nur über eine lokale Benutzeroberfläche.

Wenden Sie sich an den Google Security Operations-Support, um die Konfigurationsdatei des Google Security Operations-Weiterleiters für die Paketerfassung zu aktualisieren.

Zum Ausführen eines PCAP-Forwarders (Packet Capture) benötigen Sie Folgendes:

• Installieren Sie Npcap auf dem Microsoft Windows-Host.

• Gewähren Sie dem Google Security Operations-Weiterleiter Root- oder Administratorberechtigungen, um die Netzwerkschnittstelle zu überwachen.

• Es sind keine Befehlszeilenoptionen erforderlich.

• Aktivieren Sie bei der Npcap-Installation den WinPcap-Kompatibilitätsmodus.

Zum Konfigurieren eines PCAP-Forwarders benötigt Google Cloud die GUID für die Schnittstelle, die zum Erfassen von Paketen verwendet wird. Führen Sie getmac.exe auf dem Computer aus, auf dem Sie die Google Security Operations-Weiterleitung installieren möchten. (entweder dem Server oder der Maschine, die den Span-Port überwacht) und sendet die Ausgabe an Google Security Operations.

Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den Abschnitt PCAP und Ersetzen Sie den neben "Interface" angezeigten GUID-Wert durch die aus der Ausführung von getmac.exe angezeigte GUID.

Hier ist als Beispiel ein Original-PCAP-Abschnitt:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Dies ist die Ausgabe nach Ausführung von getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Und hier ist der überarbeitete PCAP-Abschnitt mit der neuen GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

WebProxy-Daten erfassen

Der Google Security Operations-Forwarder kann WebProxy-Daten direkt aus einem Netzwerk erfassen mit npcap an Google Cloud senden.

Wenn Sie die WebProxy-Datenerfassung für Ihr System aktivieren möchten, wenden Sie sich an den Support von Google Security Operations.

Führen Sie die folgenden Schritte aus, bevor Sie einen WebProxy-Weiterleiter ausführen:

1. Installieren Sie Npcap auf dem Microsoft Windows-Host. Aktivieren Sie während der Installation den WinPcap-Kompatibilitätsmodus.

2. Dem Google Security Operations-Forwarder Root- oder Administratorberechtigungen gewähren um die Netzwerkschnittstelle zu überwachen.

3. Zur Konfiguration eines WebProxy-Weiterleiters benötigt Google Cloud die GUID für die Schnittstelle, mit der die WebProxy-Pakete erfasst werden.

   Führen Sie getmac.exe auf dem Computer aus, auf dem Sie Google Security Operations installieren möchten Forwarder und sendet die Ausgabe an Google Security Operations. Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den WebProxy-Abschnitt und ersetzen Sie die GUID wird neben der Schnittstelle mit der GUID angezeigt, nachdem getmac.exe ausgeführt wurde.

   Konfiguration der Google Security Operations-Weiterleitung ändern (FORWARDER_NAME.conf) wie folgt:

     - webproxy:
       common:
           enabled : true
           data_type: <Your LogType>
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
         bpf: tcp and dst port 80