Executável do encaminhador das Operações de segurança do Google para Windows
Este documento descreve como instalar e configurar o encaminhador de Operações de Segurança do Google na Microsoft Windows.
Personalizar os arquivos de configuração
Com base nas informações enviadas antes da implantação, o Google Cloud fornece um arquivo executável e um arquivo de configuração opcional para o forwarder das operações de segurança do Google. O arquivo executável só deve ser executado no host foi configurado. Cada arquivo executável inclui uma configuração específica do instância de encaminhador das Operações de segurança do Google na sua rede. Se você precisar alterar a configuração, entre em contato com o suporte das Operações de segurança do Google.
Requisitos do sistema
Confira a seguir recomendações gerais. Para recomendações específicas do seu sistema, entre em contato com o suporte do Google Security Operations.
Versão do Windows Server: o encaminhador do Google Security Operations é compatível nas seguintes versões do Microsoft Windows Server:
2008 R2
2012 R2
2016
RAM: 1,5 GB para cada tipo de dados coletado. Por exemplo, a detecção e resposta de endpoints (EDR), o DNS e o DHCP são tipos de dados separados. Você precisa de 4,5 GB de RAM para coletar dados os três.
CPU: 2 CPUs são suficientes para processar menos de 10.000 eventos por segundo (EPS) (total para todos os tipos de dados). Se você espera encaminhar mais de 10.000 EPS, são necessárias de 4 a 6 CPUs.
Disco: 100 MB de espaço em disco são suficientes, independente da quantidade de dados que o encaminhador das Operações de segurança do Google alças Por padrão, o encaminhador das Operações de segurança do Google não faz o buffer no disco. É possível armazenar o disco em buffer adicionando os parâmetros
write_to_disk_buffer_enabled
ewrite_to_disk_dir_path
ao arquivo de configuração.Exemplo:
- <collector>: common: ... write_to_disk_buffer_enabled: true write_to_disk_dir_path: <var>your_path</var> ...
Intervalos de endereços IP do Google
Talvez você precise abrir o intervalo de endereços IP ao definir uma configuração de encaminhador das Operações de segurança do Google. como ao definir a configuração do firewall. O Google não pode fornecer uma lista específica de endereços IP. No entanto, você pode conseguir intervalos de endereços IP do Google.
Verificar a configuração do firewall
Se você tiver firewalls ou proxies autenticados entre o contêiner de encaminhador do Google Security Operations e ela exige regras que permitam o acesso aos seguintes hosts do Google Cloud:
Tipo de conexão | Destino | Port |
TCP | malachiteingestion-pa.googleapis.com | 443 |
TCP | asia-northeast1-malachiteingestion-pa.googleapis.com | 443 |
TCP | asia-south1-malachiteingestion-pa.googleapis.com | 443 |
TCP | asia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
TCP | australia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west2-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west3-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west6-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west12-malachiteingestion-pa.googleapis.com | 443 |
TCP | me-central1-malachiteingestion-pa.googleapis.com | 443 |
TCP | me-central2-malachiteingestion-pa.googleapis.com | 443 |
TCP | me-west1-malachiteingestion-pa.googleapis.com | 443 |
TCP | northamerica-northeast2-malachiteingestion-pa.googleapis.com | 443 |
TCP | accounts.google.com | 443 |
TCP | gcr.io | 443 |
TCP | oauth2.googleapis.com | 443 |
TCP | storage.googleapis.com | 443 |
Verifique a conectividade de rede com o Google Cloud seguindo estas etapas:
Inicie o Windows PowerShell com privilégios de administrador (clique em Iniciar, digite
PowerShell
, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como administrador).Execute o comando a seguir.
TcpTestSucceeded
precisa retornar "true".C:\> test-netconnection <host> -port <port>
Exemplo:
C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443 ComputerName : malchiteingestion-pa.googleapis.com RemoteAddress : 198.51.100.202 RemotePort : 443 InterfaceAlias : Ethernet SourceAddress : 10.168.0.2 TcpTestSucceeded : True
Você também pode usar o encaminhador de Operações de segurança do Google para verificar a conectividade de rede:
Inicie o prompt de comando com privilégios de administrador (clique em Iniciar, digite
Command Prompt
, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador).Para verificar a conectividade de rede, execute o encaminhador de Operações de segurança do Google com a opção
-test
.C:\> .\chronicle_forwarder.exe -test Verify network connection succeeded!
Instalar o encaminhador de Operações de segurança do Google no Windows
No Windows, o executável do encaminhador das Operações de segurança do Google precisa ser instalado como um serviço.
Copie o arquivo
chronicle_forwarder.exe
e o arquivo de configuração para um diretório de trabalho.Inicie o prompt de comando com privilégios de administrador (clique em Iniciar, digite
Command Prompt
, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador).Para instalar o serviço, navegue até o diretório de trabalho criado na etapa 1 e execute o seguinte comando:
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
Substitua
FILE_NAME
pelo nome do arquivo de configuração. fornecidas a você.O serviço está instalado em
C:\Windows\system32\ChronicleForwarder
.Para iniciar o serviço, execute o seguinte comando:
C:\> sc.exe start chronicle_forwarder
Verifique se o encaminhador de Operações de segurança do Google está em execução
O encaminhador das Operações de segurança do Google deve ter uma conexão de rede aberta na porta 443, e seus dados devem aparecer na interface da Web das Operações de segurança do Google em minutos.
Você pode verificar se o encaminhador de Operações de segurança do Google está em execução usando um dos seguintes métodos:
Gerenciador de tarefas: acesse a guia Processos > Processos em segundo plano > chronicle_forwarder.
Monitor de recursos: na guia Rede, o aplicativo
chronicle_forwarder.exe
deve estar listado em Atividade de rede (sempre que o aplicativochronicle_forwarder.exe
se conectar ao Google Cloud), em Conexões TCP e em Portas de escuta.
Ver registros do encaminhador
Os arquivos de registro do encaminhador das Operações de segurança do Google são armazenados no C:\Windows\Temp
do Compute Engine. Os arquivos de registro começam com chronicle_forwarder.exe.win-forwarder
.
Os arquivos de registro fornecem várias informações, incluindo quando o encaminhador foi
quando começou a enviar dados para o Google Cloud.
Desinstalar o encaminhador do Google Security Operations
Para desinstalar o serviço de encaminhamento de operações de segurança do Google, siga estas etapas:
Abra o prompt de comando no modo de administrador.
Interromper o serviço de encaminhamento do Google Security Operations:
SERVICE_NAME: chronicle_forwarder TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
Navegue até o diretório
C:\Windows\system32\ChronicleForwarder
e desinstale o serviço de encaminhador do Google Security Operations:C:\> .\chronicle_forwarder.exe -uninstall
Fazer upgrade do encaminhador de Operações de segurança do Google
Para fazer upgrade do encaminhador das Operações de segurança do Google enquanto continua usando seu arquivo de configuração atual, siga estas etapas:
Abra o prompt de comando no modo de administrador.
Copie o arquivo de configuração do diretório
C:\Windows\system32\ChronicleForwarder
para outro diretório.Interrompa o encaminhador de Operações de segurança do Google:
C:\> sc.exe stop chronicle_forwarder
Desinstale o serviço e o aplicativo de encaminhador do Google Security Operations:
C:\> .\chronicle_forwarder.exe --uninstall
Exclua todos os arquivos no diretório
C:\windows\system32\ChronicleForwarder
.Copie o novo aplicativo
chronicle_forwarder.exe
e o arquivo de configuração original para um diretório de trabalho.No diretório de trabalho, execute o seguinte comando:
C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
Inicie o serviço:
C:\ sc.exe start chronicle_forwarder
Coletar dados do Splunk
Entre em contato com o Suporte das Operações de segurança do Google para atualizar seu encaminhador de Operações de segurança do Google de arquivo de configuração para encaminhar os dados do Splunk para o Google Cloud.
Coletar dados de syslog
O encaminhador do Google Security Operations pode operar como um servidor syslog, ou seja, é possível configurar qualquer dispositivo ou servidor que ofereça suporte ao envio de dados de syslog em uma conexão TCP ou UDP para encaminhar os dados ao encaminhador de Operações de Segurança do Google. Você pode controlar exatamente o que dados que o dispositivo ou servidor envia para o encaminhador das Operações de segurança do Google, que pode encaminhar os dados para o Google Cloud.
O arquivo de configuração do encaminhador das Operações de segurança do Google especifica quais portas monitorar cada tipo de dados encaminhados (por exemplo, porta 10514). Por padrão, o encaminhador das Operações de segurança do Google aceita conexões TCP e UDP. Entre em contato com o Suporte das Operações de segurança do Google para atualizar o arquivo de configuração do encaminhador das Operações de segurança do Google para que ele seja compatível com o syslog.
Alternar a compactação de dados
A compactação de registros reduz o consumo de largura de banda da rede ao transferir registros para o Google Security Operations. No entanto, a compactação pode causar um aumento no uso da CPU. O trade-off entre o uso da CPU e a largura de banda depende de muitos fatores, incluindo o tipo de dados de registro, a compressibilidade desses dados, a disponibilidade de ciclos de CPU no host que executa o forwarder e a necessidade de reduzir o consumo de largura de banda da rede.
Por exemplo, os registros baseados em texto são bem compactados e podem proporcionar uma economia significativa na largura de banda com baixo uso da CPU. No entanto, os payloads criptografados de pacotes brutos não são bem compactados e geram um uso maior da CPU.
Como a maioria dos tipos de registro ingeridos pelo encaminhador são compactáveis com eficiência,
a compactação é ativada por padrão para reduzir o consumo de largura de banda. No entanto, se o aumento do uso da CPU
for maior que o benefício da economia de largura de banda, você poderá desativar a compactação
definindo o campo compression
como false
no arquivo de configuração do forwarder das operações de segurança do Google, conforme mostrado no exemplo a seguir:
compression: false
url: malachiteingestion-pa.googleapis.com:443
identity:
identity:
collector_id: 10479925-878c-11e7-9421-10604b7abba1
customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
secret_key: |
{
"type": "service_account",
...
Ativar o TLS para configurações do syslog
Você pode ativar o Transport Layer Security (TLS) para a conexão syslog com o Google Security Operations encaminhador. No arquivo de configuração do encaminhador do Google Security Operations, especifique o local do seu certificado e da sua chave de certificado, conforme mostrado abaixo exemplo:
certificado | C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem |
certificate_key | C:/opt/chronicle/external/certs/forwarder.key |
Com base no exemplo mostrado, a configuração de encaminhador do Google Security Operations
ser modificado da seguinte forma:
collectors: - syslog: common: enabled: true data_type: WINDOWS_DNS data_hint: batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10515 connection_timeout_sec: 60 certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem" certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"
É possível criar um diretório "certs" no diretório de configuração e armazenar os arquivos de certificado.
Coletar dados de pacotes
O encaminhador de Operações de segurança do Google pode capturar pacotes diretamente de uma interface de rede usando Npcap em sistemas Windows.
Os pacotes são capturados e enviados para o Google Cloud em vez das entradas de registro. A captura é feita somente a partir de uma interface local.
Entre em contato com o suporte do Google Security Operations para atualizar o arquivo de configuração do forwarder do Google Security Operations e oferecer suporte à captura de pacotes.
Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:
Instale o Npcap no host do Microsoft Windows.
Conceda privilégios de administrador ou raiz do encaminhador das Operações de segurança do Google para monitorar a interface de rede.
Nenhuma opção de linha de comando é necessária.
Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.
Para configurar um encaminhador PCAP, o Google Cloud precisa do GUID da interface usada para capturar pacotes.
Execute getmac.exe
na máquina em que você planeja instalar o encaminhador do Google Security Operations
(o servidor ou a máquina que está escutando na porta de extensão) e envie a saída para o Google Security Operations.
Se preferir, modifique o arquivo de configuração. Localize a seção PCAP e substitua o valor de GUID mostrado ao lado da interface pelo GUID exibido na execução de getmac.exe.
Por exemplo, aqui está uma seção original de PCAP:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
bpf: udp port 53
Esta é a saída da execução de getmac.exe
:
C:\>getmac.exe
Physical Address Transport Name
===========================================================================
A4-73-9F-ED-E1-82 \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}
E, finalmente, veja a seção revisada do PCAP com o novo GUID:
- pcap:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
bpf: udp port 53
Coletar dados do WebProxy
O encaminhador de Operações de segurança do Google pode capturar dados do WebProxy diretamente de uma rede usando o Npcap e enviá-la para o Google Cloud.
Para ativar a captura de dados do WebProxy para seu sistema, entre em contato com o Suporte de Operações de Segurança do Google.
Antes de executar um encaminhador WebProxy, faça o seguinte:
Instale o Npcap no host do Microsoft Windows. Ativar compatibilidade com WinPcap durante a instalação.
Conceda privilégios de raiz ou administrador ao forwarder do Google Security Operations para monitorar a interface de rede.
Para configurar um encaminhador do WebProxy, o Google Cloud precisa do GUID para o interface de proxy usada para capturar os pacotes WebProxy.
Execute
getmac.exe
na máquina em que você quer instalar as Operações de segurança do Google encaminhador e enviar a saída para as Operações de segurança do Google. Também é possível modificar o arquivo de configuração. Localize a seção WebProxy e substitua o GUID mostrado ao lado da interface com o GUID exibido após a execução degetmac.exe
.Modifique o arquivo de configuração do forwarder do Google Security Operations (
FORWARDER_NAME.conf
) da seguinte maneira:- webproxy: common: enabled : true data_type: <Your LogType> batch_n_seconds: 10 batch_n_bytes: 1048576 interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734} bpf: tcp and dst port 80