File yang dapat dieksekusi penerusan Google Security Operations untuk Windows

Dokumen ini menjelaskan cara menginstal dan mengonfigurasi forwarder Google Security Operations di Microsoft Windows.

Menyesuaikan file konfigurasi

Berdasarkan informasi yang Anda kirimkan sebelum deployment, Google Cloud akan memberi Anda file yang dapat dieksekusi dan file konfigurasi opsional untuk forwarder Google Security Operations. File yang dapat dieksekusi hanya boleh dijalankan di host tempat file tersebut dikonfigurasi. Setiap file yang dapat dieksekusi menyertakan konfigurasi khusus untuk instance penerusan Google Security Operations di jaringan Anda. Jika Anda perlu mengubah konfigurasi, hubungi Dukungan Google Security Operations.

Persyaratan sistem

Berikut adalah rekomendasi umum. Untuk mendapatkan rekomendasi khusus untuk sistem Anda, hubungi Dukungan Google Security Operations.

• Versi Windows Server: Pengirim Google Security Operations didukung di versi Microsoft Windows Server berikut:

  • 2008 R2

  • 2012 R2

  • 2016

• RAM: 1,5 GB untuk setiap jenis data yang dikumpulkan. Misalnya, deteksi dan respons endpoint (EDR), DNS, dan DHCP adalah jenis data terpisah. Anda memerlukan RAM 4,5 GB untuk mengumpulkan data untuk ketiganya.

• CPU: 2 CPU cukup untuk menangani kurang dari 10.000 peristiwa per detik (EPS) (total untuk semua jenis data). Jika Anda memperkirakan akan meneruskan lebih dari 10.000 EPS, diperlukan 4 hingga 6 CPU.

• Disk: Kapasitas disk 20 GB diperlukan, terlepas dari jumlah data yang ditangani forwarder Operasi Keamanan Google. Pengirim Google Security Operations tidak melakukan buffering ke disk secara default, tetapi sebaiknya aktifkan buffering disk. Anda dapat melakukan buffering disk dengan menambahkan parameter write_to_disk_buffer_enabled dan write_to_disk_dir_path dalam file konfigurasi.

  Contoh:

  - <collector>:
       common:
           ...
           write_to_disk_buffer_enabled: true
           write_to_disk_dir_path: <var>your_path</var>
           ...
  

Rentang alamat IP Google

Anda mungkin memerlukan rentang alamat IP untuk dibuka saat menyiapkan konfigurasi penerusan Google Security Operations, seperti saat menyiapkan konfigurasi untuk firewall. Google tidak dapat memberikan daftar alamat IP tertentu. Namun, Anda dapat mendapatkan rentang alamat IP Google.

Memverifikasi konfigurasi firewall

Jika Anda memiliki firewall atau proxy terautentikasi di antara penampung penerusan Google Security Operations dan internet, firewall atau proxy tersebut memerlukan aturan untuk mengizinkan akses ke host Google Cloud berikut:

Anda dapat memeriksa konektivitas jaringan ke Google Cloud menggunakan langkah-langkah berikut:

1. Mulai Windows PowerShell dengan hak istimewa Administrator (Klik Start, ketik PowerShell, klik kanan Windows PowerShell, lalu klik Run as administrator).

2. Jalankan perintah berikut. TcpTestSucceeded harus menampilkan true.

   C:\> test-netconnection <host> -port <port>

   Contoh:

   C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
   ComputerName     : malchiteingestion-pa.googleapis.com
   RemoteAddress    : 198.51.100.202
   RemotePort       : 443
   InterfaceAlias   : Ethernet
   SourceAddress    : 10.168.0.2
   TcpTestSucceeded : True
   

Anda juga dapat menggunakan penerusan Google Security Operations untuk memeriksa konektivitas jaringan:

1. Mulai Command Prompt dengan hak istimewa administrator (Klik Start, ketik Command Prompt, klik kanan Command Prompt, lalu klik Run as Administrator).

2. Untuk memverifikasi konektivitas jaringan, jalankan penerusan Google Security Operations dengan opsi -test.

   C:\> .\chronicle_forwarder.exe -test
   Verify network connection succeeded!
   

Menginstal penerusan Google Security Operations di Windows

Di Windows, file yang dapat dieksekusi penerusan Google Security Operations harus diinstal sebagai layanan.

1. Salin file chronicle_forwarder.exe dan file konfigurasi ke direktori kerja.

2. Mulai Command Prompt dengan hak istimewa administrator (Klik Start, ketik Command Prompt, klik kanan Command Prompt, lalu klik Run as Administrator).

3. Untuk menginstal layanan, buka direktori kerja yang Anda buat di langkah 1 dan jalankan perintah berikut:

   C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
   

   Ganti FILE_NAME dengan nama file konfigurasi yang diberikan kepada Anda.

   Layanan diinstal ke C:\Windows\system32\ChronicleForwarder.

4. Untuk memulai layanan, jalankan perintah berikut:

   C:\> sc.exe start chronicle_forwarder
   

Memverifikasi bahwa penerusan Google Security Operations sedang berjalan

Pengirim Google Security Operations harus memiliki koneksi jaringan yang terbuka di port 443 dan data Anda akan ditampilkan di antarmuka web Google Security Operations dalam hitungan menit.

Anda dapat memverifikasi bahwa penerusan Google Security Operations berjalan menggunakan salah satu metode berikut:

• Task Manager: Buka tab Processes > Background processes > chronicle_forwarder.

• Resources Monitor: Di tab Network, aplikasi chronicle_forwarder.exe harus tercantum di bagian Network Activity (setiap kali aplikasi chronicle_forwarder.exe terhubung ke Google Cloud), di bagian TCP Connections, dan di bagian Listening Ports.

Melihat log forwarder

File log penerusan Google Security Operations disimpan di folder C:\Windows\Temp. File log dimulai dengan chronicle_forwarder.exe.win-forwarder. File log memberikan berbagai informasi, termasuk kapan penerusan dimulai dan kapan penerusan mulai mengirim data ke Google Cloud.

Meng-uninstal penerusan Google Security Operations

Untuk meng-uninstal layanan penerusan Google Security Operations, selesaikan langkah-langkah berikut:

1. Buka Command Prompt dalam mode administrator.

2. Hentikan layanan penerusan Google Security Operations:

   SERVICE_NAME: chronicle_forwarder
   TYPE               : 10  WIN32_OWN_PROCESS
   STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
   WIN32_EXIT_CODE    : 0  (0x0)
   SERVICE_EXIT_CODE  : 0  (0x0)
   CHECKPOINT         : 0x0
   WAIT_HINT          : 0x0
   

3. Buka direktori C:\Windows\system32\ChronicleForwarder dan uninstal layanan penerusan Google Security Operations: C:\> .\chronicle_forwarder.exe -uninstall

Mengupgrade penerusan Google Security Operations

Untuk mengupgrade forwarder Google Security Operations sambil terus menggunakan file konfigurasi saat ini, selesaikan langkah-langkah berikut:

1. Buka Command Prompt dalam mode administrator.

2. Salin file konfigurasi dari direktori C:\Windows\system32\ChronicleForwarder ke direktori lain.

3. Hentikan penerusan Google Security Operations:

   C:\> sc.exe stop chronicle_forwarder
   

4. Uninstal aplikasi dan layanan penerusan Google Security Operations:

   C:\> .\chronicle_forwarder.exe --uninstall
   

5. Hapus semua file di direktori C:\windows\system32\ChronicleForwarder.

6. Salin aplikasi chronicle_forwarder.exe baru dan file konfigurasi asli ke direktori kerja.

7. Dari direktori kerja, jalankan perintah berikut:

   C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
   

8. Mulai layanan:

   C:\ sc.exe start chronicle_forwarder
   

Mengumpulkan data Splunk

Hubungi Dukungan Google Security Operations untuk memperbarui file konfigurasi forwarder Google Security Operations untuk meneruskan data Splunk ke Google Cloud.

Mengumpulkan data syslog

Pengirim Google Security Operations dapat beroperasi sebagai server syslog, yang berarti Anda dapat mengonfigurasi perangkat atau server apa pun yang mendukung pengiriman data syslog melalui koneksi TCP atau UDP untuk meneruskan datanya ke pengirim Google Security Operations. Anda dapat mengontrol dengan tepat data apa saja yang dikirim oleh appliance atau server ke forwarder Google Security Operations yang kemudian dapat meneruskan data ke Google Cloud.

File konfigurasi forwarder Google Security Operations menentukan port mana yang akan dipantau untuk setiap jenis data yang diteruskan (misalnya, port 10514). Secara default, penerusan Google Security Operations menerima koneksi TCP dan UDP. Hubungi Dukungan Google Security Operations untuk mengupdate file konfigurasi forwarder Google Security Operations Anda agar mendukung syslog.

Mengaktifkan/menonaktifkan kompresi data

Kompresi log mengurangi penggunaan bandwidth jaringan saat mentransfer log ke Google Security Operations. Namun, kompresi dapat menyebabkan peningkatan penggunaan CPU. Kompromi antara penggunaan CPU dan bandwidth bergantung pada banyak faktor, termasuk jenis data log, kemampuan kompresi data tersebut, ketersediaan siklus CPU di host yang menjalankan forwarder, dan kebutuhan untuk mengurangi konsumsi bandwidth jaringan.

Misalnya, log berbasis teks dikompresi dengan baik dan dapat memberikan penghematan bandwidth yang signifikan dengan penggunaan CPU yang rendah. Namun, payload terenkripsi dari paket mentah tidak dikompresi dengan baik dan menyebabkan penggunaan CPU yang lebih tinggi.

Karena sebagian besar jenis log yang diserap oleh forwarder dapat dikompresi secara efisien, kompresi log diaktifkan secara default untuk mengurangi konsumsi bandwidth. Namun, jika peningkatan penggunaan CPU lebih besar daripada manfaat penghematan bandwidth, Anda dapat menonaktifkan kompresi dengan menetapkan kolom compression ke false dalam file konfigurasi forwarder Google Security Operations seperti yang ditunjukkan dalam contoh berikut:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Mengaktifkan TLS untuk konfigurasi syslog

Anda dapat mengaktifkan Transport Layer Security (TLS) untuk koneksi syslog ke forwarder Google Security Operations. Dalam file konfigurasi penerusan Google Security Operations, tentukan lokasi sertifikat dan kunci sertifikat Anda seperti yang ditunjukkan dalam contoh berikut:

Berdasarkan contoh yang ditampilkan, konfigurasi forwarder Google Security Operations akan diubah sebagai berikut:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Anda dapat membuat direktori sertifikat di direktori konfigurasi dan menyimpan file sertifikat di sana.

Mengumpulkan data paket

Pengirim Google Security Operations dapat merekam paket langsung dari antarmuka jaringan menggunakan Npcap di sistem Windows.

Paket diambil dan dikirim ke Google Cloud, bukan entri log. Perekaman hanya dilakukan dari antarmuka lokal.

Hubungi Dukungan Google Security Operations untuk memperbarui file konfigurasi forwarder Google Security Operations Anda guna mendukung pengambilan paket.

Untuk menjalankan forwarder Packet Capture (PCAP), Anda memerlukan hal berikut:

• Instal Npcap di host Microsoft Windows.

• Berikan hak istimewa root atau administrator ke forwarder Google Security Operations untuk memantau antarmuka jaringan.

• Tidak diperlukan opsi command line.

• Pada penginstalan Npcap, aktifkan mode kompatibilitas WinPcap.

Untuk mengonfigurasi forwarder PCAP, Google Cloud memerlukan GUID untuk antarmuka yang digunakan untuk merekam paket. Jalankan getmac.exe di komputer tempat Anda berencana menginstal penerusan Google Security Operations (server atau mesin yang memproses di port span) dan kirim output ke Google Security Operations.

Atau, Anda dapat mengubah file konfigurasi. Temukan bagian PCAP dan ganti nilai GUID yang ditampilkan di samping antarmuka dengan GUID yang ditampilkan dari menjalankan getmac.exe.

Misalnya, berikut adalah bagian PCAP asli:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Berikut adalah output dari menjalankan getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Terakhir, berikut adalah bagian PCAP yang telah direvisi dengan GUID baru:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Mengumpulkan data WebProxy

Pengirim Google Security Operations dapat mengambil data WebProxy langsung dari antarmuka jaringan menggunakan Npcap dan mengirimkannya ke Google Cloud.

Untuk mengaktifkan pengambilan data WebProxy untuk sistem Anda, hubungi Dukungan Google Security Operations.

Sebelum menjalankan penerusan WebProxy, lakukan hal berikut:

1. Instal Npcap di host Microsoft Windows. Aktifkan mode kompatibilitas WinPcap selama penginstalan.

2. Berikan hak istimewa root atau administrator ke penerusan Google Security Operations untuk memantau antarmuka jaringan.

3. Untuk mengonfigurasi penerusan WebProxy, Google Cloud memerlukan GUID untuk antarmuka yang digunakan untuk mengambil paket WebProxy.

   Jalankan getmac.exe di komputer tempat Anda ingin menginstal penerusan Google Security Operations dan kirim output ke Google Security Operations. Atau, Anda dapat mengubah file konfigurasi. Cari bagian WebProxy dan ganti GUID yang ditampilkan di samping antarmuka dengan GUID yang ditampilkan setelah menjalankan getmac.exe.

   Ubah file konfigurasi forwarder Google Security Operations (FORWARDER_NAME.conf) sebagai berikut:

     - webproxy:
       common:
           enabled : true
           data_type: <Your LogType>
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
         bpf: tcp and dst port 80