Cette page a été traduite par l'API Cloud Translation.

Exécutable du redirecteur Google Security Operations pour Windows

Ce document explique comment installer et configurer le redirecteur Google Security Operations sur Microsoft Windows.

Personnaliser les fichiers de configuration

D'après les informations que vous avez envoyées avant le déploiement, fournit un fichier exécutable et un fichier de configuration facultatif pour redirecteur Google Security Operations. Le fichier exécutable ne doit être exécuté que sur l'hôte pour lequel il a été configuré. Chaque fichier exécutable inclut une configuration spécifique au Instance du redirecteur Google Security Operations sur votre réseau. Si vous devez modifier la configuration, contactez l'assistance Google Security Operations.

Configuration requise

Vous trouverez ci-dessous des recommandations générales. Pour obtenir des recommandations personnalisées contactez l'assistance Google Security Operations.

Version Windows Server: le redirecteur Google Security Operations est compatible sur les versions suivantes de Microsoft Windows Server:
- 2008 R2
- 2012 R2
- 2016
RAM: 1,5 Go pour chaque type de données collectées Par exemple, la détection et la réponse des points de terminaison (EDR), DNS et DHCP sont tous des types de données distincts. Vous avez besoin de 4,5 Go de RAM pour collecter des données pour les trois.
Processeur: 2 processeurs suffisent pour gérer moins de 10 000 événements par seconde (EPS) (au total pour tous les types de données). Si vous prévoyez de transférer plus de 10 000 EPS, quatre à six processeurs sont nécessaires.
Disque: 100 Mo d'espace disque sont suffisants, quelle que soit la quantité de données utilisée par le redirecteur Google Security Operations poignées. Par défaut, le redirecteur Google Security Operations n'effectue pas de mise en mémoire tampon sur le disque. Vous pouvez mettre le disque en mémoire tampon en ajoutant les paramètres write_to_disk_buffer_enabled et write_to_disk_dir_path dans le fichier de configuration.

Exemple :
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

Plages d'adresses IP utilisées par Google

Vous aurez peut-être besoin que la plage d'adresses IP s'ouvre lors de la configuration du redirecteur Google Security Operations. par exemple lors de la configuration de votre pare-feu. Google ne peut pas fournir une liste spécifique d'adresses IP. Toutefois, vous pouvez obtenir des plages d'adresses IP Google.

Vérifier la configuration du pare-feu

Si vous avez des pare-feu ou des proxys authentifiés entre le conteneur du redirecteur Google Security Operations et Internet, ils requièrent des règles pour autoriser l'accès aux hôtes Google Cloud suivants:

Type de connexion	Destination	Port
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	europe-west12-malachiteingestion-pa.googleapis.com	443
TCP	me-central1-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

Pour vérifier la connectivité réseau à Google Cloud, procédez comme suit:

Démarrez Windows PowerShell avec les droits d'administrateur (cliquez sur Démarrer, saisissez PowerShell, effectuez un clic droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu'administrateur).

Exécutez la commande suivante : TcpTestSucceeded doit renvoyer la valeur "true".

C:\> test-netconnection <host> -port <port>

Exemple :

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Vous pouvez également vérifier la connectivité réseau à l'aide du redirecteur Google Security Operations:

Démarrez l'invite de commande avec les droits d'administrateur (cliquez sur Démarrer, saisissez Command Prompt, effectuez un clic droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur).
Pour vérifier la connectivité réseau, exécutez le redirecteur Google Security Operations avec l'option -test.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

Installer le redirecteur Google Security Operations sous Windows

Sous Windows, l'exécutable du redirecteur Google Security Operations doit être installé en tant que service.

Copiez le fichier chronicle_forwarder.exe et le fichier de configuration dans un répertoire de travail.
Démarrez l'invite de commande avec les droits d'administrateur (cliquez sur Démarrer, saisissez Command Prompt, effectuez un clic droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur).
Pour installer le service, accédez au répertoire de travail que vous avez créé à l'étape 1 et exécutez la commande suivante:
```
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
```
Remplacez FILE_NAME par le nom du fichier de configuration. qui vous est fournie.

Le service est installé dans C:\Windows\system32\ChronicleForwarder.
Pour démarrer le service, exécutez la commande suivante:
```
C:\> sc.exe start chronicle_forwarder
```

Vérifier que le redirecteur Google Security Operations est en cours d'exécution

Le redirecteur Google Security Operations doit avoir une connexion réseau ouverte sur le port 443, et vos données devraient s'afficher dans l'interface Web de Google Security Operations en quelques minutes.

Vous pouvez vérifier que le redirecteur Google Security Operations s'exécute en utilisant l'une des méthodes suivantes:

Gestionnaire des tâches: accédez à l'onglet Processes (Processus) > Processus en arrière-plan > chronicle_forwarder.
Moniteur des ressources: dans l'onglet Réseau, l'application chronicle_forwarder.exe doit être répertoriée sous Activité réseau (à chaque fois que l'application chronicle_forwarder.exe se connecte à Google Cloud), sous "Connexions TCP" et sous "Ports d'écoute".

Afficher les journaux du redirecteur

Les fichiers journaux du redirecteur Google Security Operations sont stockés dans C:\Windows\Temp . Les fichiers journaux commencent par chronicle_forwarder.exe.win-forwarder. Les fichiers journaux fournissent diverses informations, y compris la date à laquelle le redirecteur a été et quand il a commencé à envoyer des données vers Google Cloud.

Désinstaller le redirecteur Google Security Operations

Pour désinstaller le service de redirecteur Google Security Operations, procédez comme suit:

Ouvrez l'invite de commande en mode administrateur.

Arrêtez le service de redirecteur Google Security Operations:

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

Accédez au répertoire C:\Windows\system32\ChronicleForwarder et désinstallez le service de transfert Google Security Operations: C:\> .\chronicle_forwarder.exe -uninstall.

Mettre à niveau le redirecteur Google Security Operations

Pour mettre à niveau le redirecteur Google Security Operations tout en continuant à utiliser votre fichier de configuration actuel, procédez comme suit:

Ouvrez l'invite de commande en mode administrateur.
Copiez votre fichier de configuration du répertoire C:\Windows\system32\ChronicleForwarder vers un autre répertoire.
Arrêtez le redirecteur Google Security Operations:
```
C:\> sc.exe stop chronicle_forwarder
```
Désinstallez l'application et le service de redirecteur Google Security Operations:
```
C:\> .\chronicle_forwarder.exe --uninstall
```
Supprimez tous les fichiers du répertoire C:\windows\system32\ChronicleForwarder.
Copiez la nouvelle application chronicle_forwarder.exe et le fichier de configuration d'origine dans un répertoire de travail.

À partir du répertoire de travail, exécutez la commande suivante:

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

Démarrez le service :
```
C:\ sc.exe start chronicle_forwarder
```

Collecter des données Splunk

Contactez l'assistance Google Security Operations pour mettre à jour votre redirecteur Google Security Operations pour transférer vos données Splunk vers Google Cloud.

Collecter des données syslog

Le redirecteur Google Security Operations peut fonctionner comme un serveur Syslog, ce qui signifie que vous pouvez configurer tout dispositif ou serveur permettant l'envoi de données syslog via une connexion TCP ou UDP. de transmettre ses données au redirecteur des opérations de sécurité Google. Vous pouvez contrôler précisément Données envoyées par l'appareil ou le serveur au redirecteur Google Security Operations qui peut ensuite les transférer vers Google Cloud.

Le fichier de configuration du redirecteur Google Security Operations spécifie les ports à surveiller chaque type de données transférées (par exemple, le port 10514). Par défaut, le redirecteur Google Security Operations accepte les connexions TCP et UDP. Contactez l'assistance Google Security Operations pour mettre à jour votre fichier de configuration du redirecteur Google Security Operations afin qu'il soit compatible avec syslog.

Activer/Désactiver la compression des données

La compression des journaux réduit la consommation de bande passante réseau lors du transfert des journaux vers Google Security Operations. Toutefois, la compression peut entraîner une augmentation de l'utilisation du processeur. Le compromis entre l’utilisation du CPU et dépend de nombreux facteurs, dont le type de données du journal, la compressibilité de données, la disponibilité des cycles de processeur sur l'hôte exécutant le redirecteur et la nécessité de réduire de la bande passante réseau consommée.

Par exemple, les journaux textuels sont bien compressés et peuvent permettre de réduire considérablement la bande passante. avec une faible utilisation du processeur. Cependant, les charges utiles chiffrées des paquets bruts ne sont pas bien compressées et entraînent une utilisation plus élevée du processeur.

Étant donné que la plupart des types de journaux ingérés par le redirecteur sont efficacement compressibles, les journaux est activée par défaut pour réduire la consommation de bande passante. Toutefois, si l'augmentation du processeur compense l'avantage des économies de bande passante, vous pouvez désactiver la compression en définissant le champ compression sur false dans le fichier de configuration du redirecteur Google Security Operations, comme illustré dans l'exemple suivant:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Activer le protocole TLS pour les configurations syslog

Vous pouvez activer le protocole TLS (Transport Layer Security) pour la connexion syslog à Google Security Operations à l'origine du transfert. Dans le fichier de configuration du redirecteur Google Security Operations, spécifiez l'emplacement de votre certificat et de votre clé de certificat, comme indiqué ci-dessous Exemple:

certificat	`C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
certificate_key	`C:/opt/chronicle/external/certs/forwarder.key`

D'après l'exemple présenté, la configuration du redirecteur Google Security Operations être modifié comme suit:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Vous pouvez créer un répertoire de certificats dans le répertoire de configuration et stocker des fichiers de certificat.

Collecter les données des paquets

Le redirecteur Google Security Operations peut capturer des paquets directement à partir d'une interface réseau à l'aide de Npcap sur les systèmes Windows.

Les paquets sont capturés et envoyés à Google Cloud à la place des entrées de journal. La capture s'effectue uniquement à partir d'une interface locale.

Contactez l'assistance Google Security Operations pour mettre à jour votre fichier de configuration du redirecteur Google Security Operations afin de permettre la capture de paquets.

Pour exécuter un redirecteur de capture de paquets (PCAP), vous avez besoin des éléments suivants:

Installez Npcap sur l'hôte Microsoft Windows.
Accordez au redirecteur Google Security Operations des droits d'administrateur ou des droits racine pour surveiller l'interface réseau.
Aucune option de ligne de commande n'est nécessaire.
Lors de l'installation de Npcap, activez le mode de compatibilité WinPcap.

Pour configurer un redirecteur PCAP, Google Cloud a besoin du GUID de l'interface utilisée pour capturer les paquets. Exécutez getmac.exe sur la machine sur laquelle vous prévoyez d'installer le redirecteur Google Security Operations (le serveur ou la machine qui écoute sur le port span) et d'envoyer le résultat à Google Security Operations.

Vous pouvez également modifier le fichier de configuration. Localisez la section PCAP et remplacez la valeur GUID affichée à côté de l'interface par le GUID affiché lors de l'exécution de getmac.exe.

Par exemple, voici une section PCAP originale:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Voici le résultat de l'exécution de getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Et enfin, voici la section PCAP révisée avec le nouveau GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Collecter les données WebProxy

Le redirecteur Google Security Operations peut capturer les données WebProxy directement à partir d'un réseau à l'aide de Npcap et l'envoyer à Google Cloud.

Pour activer la capture de données WebProxy pour votre système, contactez l'assistance Google Security Operations.

Avant d'exécuter un redirecteur WebProxy, procédez comme suit:

Installez Npcap sur l'hôte Microsoft Windows. Activer la compatibilité avec WinPcap pendant l'installation.
Accorder des droits racine ou d'administrateur au redirecteur Google Security Operations pour surveiller l'interface réseau.
Pour configurer un redirecteur WebProxy, Google Cloud a besoin du GUID du utilisée pour capturer les paquets WebProxy.

Exécutez getmac.exe sur la machine sur laquelle vous souhaitez installer Google Security Operations et d'envoyer le résultat à Google Security Operations. Vous pouvez également modifier le fichier de configuration. Recherchez la section "WebProxy" et remplacez le GUID. affiché à côté de l'interface avec le GUID affiché après l'exécution de getmac.exe.

Modifier la configuration du redirecteur Google Security Operations (FORWARDER_NAME.conf) comme suit:
```
  - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80
```