Ejecutor de reenvío de Chronicle para Windows

En este documento, se describe cómo instalar y configurar el reenvío de Chronicle en Microsoft Windows.

Cómo personalizar los archivos de configuración

Según la información que enviaste antes de la implementación, Google Cloud te proporciona un archivo ejecutable y un archivo de configuración opcional para el servidor de reenvío de Chronicle. El archivo ejecutable solo debe ejecutarse en el host para el que se configuró. Cada archivo ejecutable incluye una configuración específica de la instancia de reenvío de Chronicle en tu red. Si necesitas modificar la configuración, comunícate con el equipo de asistencia de Chronicle.

Requisitos del sistema

Las siguientes son recomendaciones generales. Si quieres obtener recomendaciones específicas para tu sistema, comunícate con el equipo de asistencia de Chronicle.

Versión de Windows Server: El reenvío de Chronicle es compatible con las siguientes versiones de Microsoft Windows Server:
- 2008 R2
- 2012 R2
- 2016
RAM: 1.5 GB para cada tipo de datos recopilados. Por ejemplo, la detección y respuesta de extremos (EDR), el DNS y el DHCP son tipos de datos independientes. Necesitas 4.5 GB de RAM para recopilar datos de los tres.
CPU: 2 CPU son suficientes para controlar menos de 10,000 eventos por segundo (EPS) (total para todos los tipos de datos). Si esperas reenviar más de 10,000 EPS, se necesitan de 4 a 6 CPU.
Disco: 100 MB de espacio en disco es suficiente, independientemente de la cantidad de datos que procese el servidor de reenvío de Chronicle. El servidor de reenvío de Chronicle no se almacena en el búfer de forma predeterminada en el disco. Para almacenar en búfer el disco, agrega los parámetros write_to_disk_buffer_enabled y write_to_disk_dir_path en el archivo de configuración.

Por ejemplo:
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

Rangos de direcciones IP de Google

Es posible que necesites que se abra el rango de direcciones IP cuando configuras un reenvío de Chronicle, como cuando configuras el firewall. Google no puede proporcionar una lista específica de direcciones IP. Sin embargo, puedes obtener rangos de direcciones IP de Google.

Verifica la configuración del firewall

Si tienes firewalls o proxies autenticados entre el contenedor de reenvío de Chronicle y Internet, estas requieren reglas para permitir el acceso a los siguientes hosts de Google Cloud:

Tipo de conexión	Destino	Puerto
TCP	`malachiteingestion-pa.googleapis.com`	443
TCP	`europe-malachiteingestion-pa.googleapis.com`	443
TCP	`europe-west2-malachiteingestion-pa.googleapis.com`	443
TCP	`asia-southeast1-malachiteingestion-pa.googleapis.com`	443
TCP	`australia-southeast1-malachiteingestion-pa.googleapis.com`	443
TCP	`accounts.google.com`	443
TCP	`gcr.io`	443
TCP	`oauth2.googleapis.com`	443
TCP	`storage.googleapis.com`	443

Sigue estos pasos para verificar la conectividad de red a Google Cloud:

Inicia Windows PowerShell con privilegios de administrador (haz clic en Iniciar, escribe PowerShell, haz clic con el botón derecho en Windows PowerShell y, luego, en Ejecutar como administrador).

Ejecuta el siguiente comando. TcpTestSucceeded debe mostrar un valor verdadero.

C:\> test-netconnection <host> -port <port>

Por ejemplo:

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

También puedes usar el servidor de reenvío de Chronicle para verificar la conectividad de red:

Inicie el símbolo del sistema con privilegios de administrador (haga clic en Iniciar, escriba Command Prompt, haga clic con el botón derecho en Símbolo del sistema y, luego, en Ejecutar como administrador).
Para verificar la conectividad de red, ejecuta el reenvío de Chronicle con la opción -test.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

Cómo instalar el reenvío de Chronicle en Windows

En Windows, el ejecutable del servidor de reenvío de Chronicle debe instalarse como servicio.

Copia el archivo chronicle_forwarder.exe y el archivo de configuración en un directorio de trabajo.
Inicie el símbolo del sistema con privilegios de administrador (haga clic en Iniciar, escriba Command Prompt, haga clic con el botón derecho en Símbolo del sistema y, luego, en Ejecutar como administrador).
Para instalar el servicio, navega al directorio de trabajo que creaste en el paso 1 y ejecuta el siguiente comando:
```
The service is installed to C:\Windows\system32\ChronicleForwarder
```
Para iniciar el servicio, ejecuta el siguiente comando:
```
C:\> sc.exe start chronicle_forwarder
```

Verifica que el servidor de reenvío de Chronicle esté en ejecución

El servidor de reenvío de Chronicle debe tener una conexión de red abierta en el puerto 443, y sus datos deberían mostrarse en la interfaz web de Chronicle.

Puedes verificar que el reenvío de Chronicle se esté ejecutando con cualquiera de los siguientes métodos:

Administrador de tareas: Navega a la pestaña Procesos > Procesos en segundo plano > chronicle_forwarder.
Monitor de recursos: En la pestaña Red, la aplicación chronicle_forwarder.exe debe aparecer en Actividad de red (cada vez que la aplicación chronicle_forwarder.exe se conecte a Google Cloud), en Conexiones TCP y en Puertos de escucha.

Ver registros de reenvío

Los archivos de registro del reenvío de Chronicle se almacenan en la carpeta C:\Windows\Temp. Los archivos de registro comienzan con chronicle_forwarder.exe.win-forwarder. Los archivos de registro proporcionan una variedad de información, que incluye cuándo se inició el servidor de reenvío y cuándo comenzó a enviar datos a Google Cloud.

Desinstala el servidor de reenvío de Chronicle

Para desinstalar el servicio de reenvío de Chronicle, completa los siguientes pasos:

Abre el símbolo del sistema en el modo de administrador.

Detén el servicio de reenvío de Chronicle:

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

Navega al directorio C:\Windows\system32\ChronicleForwarder y desinstala el servicio de reenvío de Chronicle: C:\> .\chronicle_forwarder.exe -uninstall

Actualiza el reenvío de Chronicle

Para actualizar el servidor de reenvío de Chronicle mientras sigues usando el archivo de configuración actual, completa los siguientes pasos:

Abre el símbolo del sistema en el modo de administrador.
Copia el archivo de configuración del directorio C:\Windows\system32\ChronicleForwarder a otro directorio.
Detén el reenvío de Chronicle:
```
C:\> sc.exe stop chronicle_forwarder
```
Desinstala el servicio y la aplicación de reenvío de Chronicle:
```
C:\> .\chronicle_forwarder.exe --uninstall
```
Borra todos los archivos del directorio C:\windows\system32\ChronicleForwarder.
Copia la nueva aplicación chronicle_forwarder.exe y el archivo de configuración original en un directorio de trabajo.

Desde el directorio de trabajo, ejecuta el siguiente comando:

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

Inicia el servicio:
```
C:\ sc.exe start chronicle_forwarder
```

Recopila datos de Splunk

Comunícate con el equipo de asistencia de Chronicle para actualizar tu archivo de configuración de reenvío de Chronicle a fin de reenviar los datos de Splunk a Google Cloud.

Cómo recopilar datos de syslog

El servidor de reenvío de Chronicle puede operar como un servidor syslog, lo que significa que puedes configurar cualquier dispositivo o servidor que admita el envío de datos de syslog a través de una conexión TCP o UDP para reenviar sus datos al servidor de reenvío de Chronicle. Puedes controlar exactamente qué datos envía el dispositivo o servidor al servidor de reenvío de Chronicle, que luego puede reenviar los datos a Google Cloud.

El archivo de configuración del servidor de reenvío de Chronicle especifica qué puertos se deben supervisar para cada tipo de datos reenviados (por ejemplo, el puerto 10514). De forma predeterminada, el servidor de reenvío de Chronicle acepta conexiones TCP y UDP. Comuníquese con el equipo de asistencia de Chronicle para actualizar el archivo de configuración del reenvío de Chronicle a fin de que admita syslog.

Activar o desactivar la compresión de datos

La compresión de registros reduce el consumo de ancho de banda de red cuando se transfieren registros a Chronicle. Sin embargo, la compresión puede causar un aumento en el uso de la CPU. La compensación entre el uso de CPU y el ancho de banda depende de muchos factores, incluidos el tipo de datos de registro, la compresibilidad de esos datos, la disponibilidad de ciclos de CPU en el host que ejecuta el servidor de reenvío y la necesidad de reducir el consumo del ancho de banda de la red.

Por ejemplo, los registros basados en texto se comprimen bien y pueden proporcionar ahorros considerables de ancho de banda con un uso bajo de CPU. Sin embargo, las cargas útiles encriptadas de paquetes sin procesar no se comprimen bien y generan un mayor uso de CPU.

Dado que la mayoría de los tipos de registro que transfiere el servidor de reenvío se pueden comprimir de manera eficiente, la compresión de registro se habilita de forma predeterminada para reducir el consumo de ancho de banda. Sin embargo, si el aumento en el uso de CPU supera el beneficio de ancho de banda, puedes inhabilitar la compresión mediante la configuración del campo compression como false en el archivo de configuración del servidor de reenvío de Chronicle, como se muestra en el siguiente ejemplo:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Habilitar TLS para configuraciones de syslog

Puedes habilitar la seguridad de la capa de transporte (TLS) para la conexión de syslog al servidor de reenvío de Chronicle. En el archivo de configuración del servidor de reenvío de Chronicle, especifica la ubicación de tu certificado y clave de certificado, como se muestra en el siguiente ejemplo:

certificado	`/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
clave_certificado	`/opt/chronicle/external/certs/forwarder.key`

Según el ejemplo que se muestra, la configuración del servidor de reenvío de Chronicle se modificaría de la siguiente manera:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "/opt/chronicle/external/certs/forwarder.key"

Puedes crear un directorio de certificación en el directorio de configuración y almacenar los archivos del certificado allí.

Recopilar datos de paquetes

El servidor de reenvío de Chronicle puede capturar paquetes directamente desde una interfaz de red mediante Npcap en sistemas Windows.

Los paquetes se capturan y se envían a Google Cloud en lugar de entradas de registro. La captura se realiza solo desde una interfaz local.

Comunícate con el equipo de asistencia de Chronicle para actualizar el archivo de configuración del reenvío de Chronicle a fin de que admita la captura de paquetes.

Para ejecutar un servidor de reenvío de captura de paquetes (PCAP), necesitas lo siguiente:

Instala Npcap en el host de Microsoft Windows.
Otorga privilegios de administrador o raíz del servidor de reenvío de Chronicle para supervisar la interfaz de red.
No se requieren opciones de la línea de comandos.
En la instalación de Npcap, habilita el modo de compatibilidad WinPcap.

A fin de configurar un reenvío de PCAP, Google Cloud necesita el GUID para la interfaz que se usa a fin de capturar paquetes. Ejecuta getmac.exe en la máquina en la que planeas instalar el servidor de reenvío de Chronicle (ya sea el servidor o la máquina que escucha en el puerto de intervalo) y envía el resultado a Chronicle.

Como alternativa, puedes modificar el archivo de configuración. Ubica la sección PCAP y reemplaza el valor de GUID que se muestra junto a la interfaz por el GUID que se muestra cuando se ejecuta getmac.exe.

Por ejemplo, esta es una sección original de PCAP:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Este es el resultado de la ejecución de getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Y, por último, esta es la sección revisada del PCAP con el nuevo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53