Instala y configura el servidor de reenvío en Windows

En este documento, se describe cómo instalar y configurar el servidor de reenvío en Microsoft Windows.

Cómo personalizar los archivos de configuración

Según la información que enviaste antes de la implementación, Google Cloud te proporciona un archivo ejecutable y un archivo de configuración opcional para el servidor de reenvío. El archivo ejecutable solo debe ejecutarse en el host para el que se configuró. Cada archivo ejecutable incluye una configuración específica para la instancia de reenvío de tu red. Si necesitas modificar la configuración, comunícate con el equipo de asistencia de Chronicle.

Requisitos del sistema

Las siguientes son recomendaciones generales. Para obtener recomendaciones específicas de tu sistema, comunícate con el equipo de asistencia de Chronicle.

  • Versión de Windows Server: El servidor de reenvío de Chronicle es compatible con las siguientes versiones de Microsoft Windows Server:

    • 2008 R2
    • 2012 R2
    • 2016
  • RAM: 1.5 GB para cada tipo de datos recopilados. Por ejemplo, la detección y la respuesta de extremos (EDR), el DNS y el DHCP son tipos de datos separados. Necesitarás 4.5 GB de RAM para recopilar datos de los tres.

  • CPU: dos CPU son suficientes para controlar menos de 10,000 eventos por segundo (EPS) (total para todos los tipos de datos). Si esperas más de 10,000 EPS, se necesitan entre 4 y 6 CPU.

  • Disco: 100 MB de espacio suficiente en el disco es suficiente, sin importar la cantidad de datos que administre el reenvío de Chronicle. El servidor de reenvío de Chronicle no se almacena en búfer en el disco.

Verifica la configuración del firewall

Si tienes firewalls o proxies autenticados entre el contenedor de reenvío y la Internet, requieren reglas para permitir el acceso a los siguientes hosts de Google Cloud:

Tipo de conexión Destinatio Puerto
TCP malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443

Puedes verificar la conectividad de red a Google Cloud mediante los siguientes pasos:

  1. Inicia Windows PowerShell con privilegios de administrador (Windows -> haz clic con el botón derecho en Windows PowerShell y selecciona Ejecutar como administrador).

  2. Ejecuta el siguiente comando. TcpTestSucceeded debe mostrarse como Verdadero.

    C:\> test-netconnection <host> -port <port>

    Por ejemplo:

    C:\> test-net connection malachiteingestion-pa.googleapis.com -port 443
    ComputerName     : malchiteingestion-pa.googleapis.com
    RemoteAddress    : 198.51.100.202
    RemotePort       : 443
    InterfaceAlias   : Ethernet
    SourceAddress    : 10.168.0.2
    TcpTestSucceeded : True</font>
    

También puedes usar el servidor de reenvío para verificar la conectividad de red:

  1. Inicia el símbolo del sistema con privilegios de administrador (Windows -> haz clic con el botón derecho en el símbolo del sistema y selecciona Ejecutar como administrador).
  2. Para verificar la conectividad de la red, ejecuta el servidor de reenvío con la opción -test.

    C:\> .\chronicle_forwarder.exe -test
    Verify network connection succeeded!
    

Instala el servidor de reenvío en Windows

En Windows, el ejecutable de reenvío debe instalarse como un servicio.

  1. Copie el archivo de cronle_forwarder.exe y el archivo de configuración a un directorio de trabajo.

  2. Inicia el símbolo del sistema con privilegios de administrador (Windows -> haz clic con el botón derecho en el símbolo del sistema y selecciona Ejecutar como administrador).

  3. Para instalar el servicio, navega al directorio de trabajo que creaste en el paso 1 y ejecuta el siguiente comando:

    C:\> .\chronicle_forwarder.exe -install -config <configFileProvidedToYou>
    
    The service is installed to C:\Windows\system32\ChronicleForwarder
    
  4. Para iniciar el servicio, ejecuta el siguiente comando:

    C:\> sc start chronicle_forwarder

Verifica que el servidor de reenvío esté en ejecución

El servidor de reenvío debe tener una conexión de red abierta en el puerto 443, y sus datos deberían mostrarse en la interfaz web de Chronicle en cuestión de minutos.

Puede verificar que el servidor de reenvío se esté ejecutando mediante cualquiera de los siguientes métodos:

  • Administrador de tareas: Navegue a la pestaña Procesos. En los procesos en segundo plano, se debe incluir cronle_forwarder.

  • Supervisión de recursos: En la pestaña Network, la aplicación CRCle_forwarder.exe debería aparecer en Actividad de red (cada vez que la aplicación CRCle_forwarder.exe se conecte a Google Cloud), en la sección Conexiones de TCP y en Puertos de escucha.

  • Archivos de registro de reenvío de Chronicle: Navega a la carpeta C:\Windows\Temp. Los archivos de registro de reenvío de Chronicle se almacenan aquí. Todos los archivos de registro comienzan con cronle_forwarder.exe.win-forwarder. Abre el archivo de registro más reciente en un editor de texto. Brinda una variedad de información, incluida la fecha en que se inició el reenvío de Chronicle y cuándo comenzó a enviar datos a Google Cloud.

Desinstala el reenvío

Para desinstalar el servicio de reenvío, sigue estos pasos:

  1. Abre el símbolo del sistema en modo administrador.

  2. Detén el servicio de reenvío de Chronicle:

    C:\> sc stop chronicle_forwarder
    SERVICE_NAME: chronicle_forwarder
    TYPE               : 10  WIN32_OWN_PROCESS
    STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0
    
  3. Navega al directorio C:\Windows\system32\ChronicleForwarder y desinstala el servicio de reenvío de Chronicle: C:\> .\chronicle_forwarder.exe -uninstall

Actualice el servidor de reenvío

Para actualizar el servidor de reenvío mientras sigues usando el archivo de configuración actual, completa los siguientes pasos:

  1. Abre el símbolo del sistema en modo administrador.

  2. Copia el archivo de configuración del directorio C:\Windows\system32\ChronicleForwarder a otro directorio.

  3. Detén el reenvío de Chronicle:

    C:\> sc stop chronicle_forwarder

  4. Desinstala el servicio y la aplicación de reenvío de Chronicle:

    C:\> .\chronicle_forwarder.exe --uninstall

  5. Borra todos los archivos del directorio C:\windows\system32\ChronicleForwarder.

  6. Copie la nueva aplicación de cronle_forwarder.exe y el archivo de configuración original a un directorio de trabajo.

  7. Desde el directorio de trabajo, ejecuta el siguiente comando:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

  8. Inicia el servicio:

    C:\ sc start chronicle_forwarder

Recopila datos de Splunk

Comunícate con el equipo de asistencia de Chronicle para actualizar el archivo de configuración de reenvío de Chronicle a fin de reenviar los datos de Splunk a Google Cloud.

Recopila datos de syslog

El servidor de reenvío de Chronicle puede funcionar como un servidor Syslog, lo que significa que puedes configurar cualquier dispositivo o servidor que admita el envío de datos syslog a través de una conexión TCP o UDP para reenviar sus datos al servidor de reenvío de Chronicle. Puedes controlar exactamente los datos que el dispositivo o el servidor envía al servidor de reenvío de Chronicle que, a su vez, puede reenviar los datos a Google Cloud.

El archivo de configuración de reenvío de Chronicle especifica los puertos que se deben supervisar para cada tipo de datos reenviados (por ejemplo, el puerto 10514). De forma predeterminada, el servidor de reenvío de Chronicle acepta conexiones TCP y UDP. Comunícate con el servicio de asistencia de Chronicle para actualizar el archivo de configuración de reenvío de Chronicle a fin de que admita syslog.

Activar o desactivar compresión de datos

La compresión de registros reduce el consumo de ancho de banda de red cuando se transfieren registros a Chronicle. Sin embargo, la compresión puede causar un aumento en el uso de la CPU. La compensación entre el uso de CPU y el ancho de banda depende de muchos factores, incluidos el tipo de datos de registro, la compresibilidad de esos datos, la disponibilidad de ciclos de CPU en el host que ejecuta el servidor de reenvío y la necesidad de reducir consumo de ancho de banda de red.

Por ejemplo, los registros basados en texto se comprimen de forma correcta y pueden proporcionar ahorros significativos de ancho de banda con bajo uso de la CPU. Sin embargo, las cargas útiles encriptadas de paquetes sin procesar no se comprimen de forma correcta y generan un mayor uso de CPU.

Debido a que la mayoría de los tipos de registro que transfiere el servidor de reenvío se pueden comprimir de manera eficiente, la compresión de registro está habilitada de forma predeterminada para reducir el consumo de ancho de banda. Sin embargo, si el aumento en el uso de CPU supera el beneficio de los ahorros de ancho de banda, puedes inhabilitar la compresión estableciendo el campo compression como false en el archivo de configuración de reenvío de Chronicle como se muestra en el siguiente ejemplo:

  output:
  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Cómo habilitar TLS para configuraciones de syslog

Puedes habilitar la seguridad de la capa de transporte (TLS) para la conexión Syslog con el servidor de reenvío de Chronicle. En el archivo de configuración de reenvío de Chronicle, especifica la ubicación de tu certificado y la clave del certificado, como se muestra en el siguiente ejemplo:

certificado “/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem”
certificado_clave “/opt/chronicle/external/certs/forwarder.key”

Según el ejemplo que se muestra, la configuración de reenvío de Chronicle se modificaría de la siguiente manera:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "/opt/chronicle/external/certs/forwarder.key"

Puedes crear un directorio de certificados en el directorio de configuración y almacenar los archivos de certificado allí.

Cómo recopilar datos de paquetes

El servidor de reenvío de Chronicle puede capturar paquetes directamente desde una interfaz de red mediante WinPcap o Npcap en sistemas Windows. Los paquetes se capturan y se envían a Google Cloud en lugar de a las entradas de registro. La captura se realiza solo desde una interfaz local.

Comunícate con el equipo de asistencia de Chronicle para actualizar el archivo de configuración de reenvío de Chronicle a fin de que sea compatible con la captura de paquetes.

Para ejecutar un servidor de reenvío de captura de paquetes (PCAP), necesitas lo siguiente:

  • Para los hosts de Microsoft Windows, instala WinPcap o Npcap según los requisitos de tu organización.

  • El servidor de reenvío de Chronicle requiere privilegios de administrador o de administrador para supervisar la interfaz de red.

  • No se necesitan opciones de la línea de comandos.

  • Para las instalaciones de Npcap, habilita el modo de compatibilidad de WinPcap.

A fin de configurar un servidor de reenvío de PCAP, Google Cloud necesita el GUID para la interfaz que se usa a fin de capturar paquetes. Ejecuta getmac.exe en la máquina en la que planeas instalar el servidor de reenvío de Chronicle (el servidor o la máquina que escucha en el puerto de intervalo) y envía el resultado a Chronicle.

Como alternativa, puedes modificar el archivo de configuración. Ubica la sección PCAP y reemplaza el valor GUID que se muestra junto a la interfaz, en la que se muestra el GUID mediante la ejecución de getmac.exe.

Por ejemplo, esta es una sección original de PCAP:

- pcap:
 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Este es el resultado de la ejecución de getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Por último, esta es la sección revisada de PCAP con el nuevo GUID:

  - pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53