Penerusan Chronicle yang dapat dieksekusi untuk Windows

Dokumen ini menjelaskan cara menginstal dan mengonfigurasi forwarder Chronicle di Microsoft Windows.

Menyesuaikan file konfigurasi

Berdasarkan informasi yang Anda kirimkan sebelum deployment, Google Cloud menyediakan file yang dapat dieksekusi dan file konfigurasi opsional untuk Chronicle forwarder. File yang dapat dieksekusi hanya boleh dijalankan di host yang telah dikonfigurasi. Setiap file yang dapat dieksekusi menyertakan konfigurasi khusus untuk instance penerus Chronicle di jaringan Anda. Jika Anda perlu mengubah konfigurasi, hubungi Dukungan Chronicle.

Persyaratan sistem

Berikut adalah rekomendasi umum. Untuk mendapatkan rekomendasi khusus bagi sistem Anda, hubungi Dukungan Chronicle.

• Versi Windows Server: Penerusan Chronicle didukung pada Microsoft Windows Server versi berikut:

  • 2008 R2

  • 2012 R2

  • 2016

• RAM: 1,5 GB untuk setiap jenis data yang dikumpulkan. Misalnya, deteksi dan respons endpoint (EDR), DNS, dan DHCP adalah jenis data yang berbeda. Anda memerlukan RAM 4,5 GB agar dapat mengumpulkan data untuk ketiganya.

• CPU: 2 CPU sudah cukup untuk menangani kurang dari 10.000 peristiwa per detik (EPS) (total untuk semua jenis data). Jika Anda berharap untuk meneruskan lebih dari 10.000 EPS, 4 hingga 6 CPU diperlukan.

• Disk: Kapasitas disk 100 MB sudah cukup, terlepas dari jumlah data yang ditangani penerus Chronicle. Forwarder Chronicle tidak melakukan buffering ke disk secara default. Anda dapat melakukan buffering disk dengan menambahkan parameter write_to_disk_buffer_enabled dan write_to_disk_dir_path di file konfigurasi.

  Contoh:

  - <collector>:
       common:
           ...
           write_to_disk_buffer_enabled: true
           write_to_disk_dir_path: <var>your_path</var>
           ...
  

Rentang alamat IP Google

Rentang alamat IP mungkin perlu terbuka saat menyiapkan konfigurasi penerusan Chronicle, seperti saat menyiapkan konfigurasi untuk firewall Anda. Google tidak dapat memberikan daftar alamat IP yang spesifik. Namun, Anda dapat mendapatkan rentang alamat IP Google.

Memverifikasi konfigurasi firewall

Jika Anda memiliki firewall atau proxy yang diautentikasi di antara container penerusan Chronicle dan internet, aturan tersebut memerlukan aturan untuk mengizinkan akses ke host Google Cloud berikut:

Jenis Koneksi	Tujuan	Port
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

Anda dapat memeriksa konektivitas jaringan ke Google Cloud menggunakan langkah-langkah berikut:

1. Mulai Windows PowerShell dengan hak istimewa Administrator (Klik Start, ketik PowerShell, klik kanan Windows PowerShell, lalu klik Run as administrator).

2. Jalankan perintah berikut. TcpTestSucceeded akan menampilkan true.

   C:\> test-netconnection <host> -port <port>

   Contoh:

   C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
   ComputerName     : malchiteingestion-pa.googleapis.com
   RemoteAddress    : 198.51.100.202
   RemotePort       : 443
   InterfaceAlias   : Ethernet
   SourceAddress    : 10.168.0.2
   TcpTestSucceeded : True
   

Anda juga dapat menggunakan forwarder Chronicle untuk memeriksa konektivitas jaringan:

1. Mulai Command Prompt dengan hak istimewa administrator (Klik Start, ketik Command Prompt, klik kanan Command Prompt, dan klik Run as Administrator).

2. Untuk memverifikasi konektivitas jaringan, jalankan forwarder Chronicle dengan opsi -test.

   C:\> .\chronicle_forwarder.exe -test
   Verify network connection succeeded!
   

Menginstal penerusan Chronicle di Windows

Di Windows, file penerusan Chronicle yang dapat dieksekusi harus diinstal sebagai layanan.

1. Salin file chronicle_forwarder.exe dan file konfigurasi ke direktori kerja.

2. Mulai Command Prompt dengan hak istimewa administrator (Klik Start, ketik Command Prompt, klik kanan Command Prompt, dan klik Run as Administrator).

3. Untuk menginstal layanan, buka direktori kerja yang Anda buat di langkah 1 dan jalankan perintah berikut:

   C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
   

   Ganti FILE_NAME dengan nama file konfigurasi yang diberikan kepada Anda.

   Layanan diinstal ke C:\Windows\system32\ChronicleForwarder.

4. Untuk memulai layanan, jalankan perintah berikut:

   C:\> sc.exe start chronicle_forwarder
   

Memastikan penerusan Chronicle sedang berjalan

Penerusan Chronicle akan membuka koneksi jaringan di port 443 dan data Anda akan ditampilkan di antarmuka web Chronicle dalam hitungan menit.

Anda dapat memastikan bahwa penerusan Chronicle berjalan menggunakan salah satu metode berikut:

• Task Manager: Buka tab Processes > Background processes > chronicle_forwarder.

• Resources Monitor: Pada tab Network, aplikasi chronicle_forwarder.exe harus tercantum di bagian Network Activity (setiap kali aplikasi chronicle_forwarder.exe terhubung ke Google Cloud), di bagian TCP Connections, dan di bagian Listening Ports.

Lihat log penerus

File log penerus Chronicle disimpan di folder C:\Windows\Temp. File log dimulai dengan chronicle_forwarder.exe.win-forwarder. File log ini menyediakan berbagai informasi, termasuk kapan forwarder dimulai dan kapan mulai mengirim data ke Google Cloud.

Meng-uninstal forwarder Chronicle

Untuk meng-uninstal layanan penerusan Chronicle, selesaikan langkah-langkah berikut:

1. Buka Command Prompt dalam mode administrator.

2. Hentikan layanan penerusan Chronicle:

   SERVICE_NAME: chronicle_forwarder
   TYPE               : 10  WIN32_OWN_PROCESS
   STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
   WIN32_EXIT_CODE    : 0  (0x0)
   SERVICE_EXIT_CODE  : 0  (0x0)
   CHECKPOINT         : 0x0
   WAIT_HINT          : 0x0
   

3. Buka direktori C:\Windows\system32\ChronicleForwarder, lalu uninstal layanan penerusan Chronicle: C:\> .\chronicle_forwarder.exe -uninstall

Mengupgrade penerus Chronicle

Untuk mengupgrade forwarder Chronicle sambil terus menggunakan file konfigurasi saat ini, selesaikan langkah-langkah berikut:

1. Buka Command Prompt dalam mode administrator.

2. Salin file konfigurasi Anda dari direktori C:\Windows\system32\ChronicleForwarder ke direktori lain.

3. Hentikan penerusan Chronicle:

   C:\> sc.exe stop chronicle_forwarder
   

4. Uninstal layanan dan aplikasi penerusan Chronicle:

   C:\> .\chronicle_forwarder.exe --uninstall
   

5. Hapus semua file di direktori C:\windows\system32\ChronicleForwarder.

6. Salin aplikasi chronicle_forwarder.exe baru dan file konfigurasi asli ke direktori kerja.

7. Dari direktori kerja, jalankan perintah berikut:

   C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
   

8. Mulai layanan:

   C:\ sc.exe start chronicle_forwarder
   

Mengumpulkan data Splunk

Hubungi Dukungan Chronicle untuk memperbarui file konfigurasi penerus Chronicle untuk meneruskan data Splunk Anda ke Google Cloud.

Mengumpulkan data syslog

Forwarder Chronicle dapat beroperasi sebagai server syslog. Artinya, Anda dapat mengonfigurasi peralatan atau server apa pun yang mendukung pengiriman data syslog melalui koneksi TCP atau UDP untuk meneruskan datanya ke forwarder Chronicle. Anda dapat mengontrol dengan tepat data yang dikirim peralatan atau server ke penerusan Chronicle, yang kemudian dapat meneruskan data tersebut ke Google Cloud.

File konfigurasi penerus Chronicle menentukan port mana yang akan dipantau untuk setiap jenis data yang diteruskan (misalnya, port 10514). Secara default, penerus Chronicle menerima koneksi TCP dan UDP. Hubungi Dukungan Chronicle untuk mengupdate file konfigurasi penerusan Chronicle agar mendukung syslog.

Aktifkan/nonaktifkan kompresi data

Kompresi log mengurangi penggunaan bandwidth jaringan saat mentransfer log ke Chronicle. Namun, kompresi dapat menyebabkan peningkatan penggunaan CPU. Kompromi antara penggunaan CPU dan bandwidth bergantung pada banyak faktor, termasuk jenis data log, kompresi data tersebut, ketersediaan siklus CPU pada host yang menjalankan forwarder, dan kebutuhan untuk mengurangi konsumsi bandwidth jaringan.

Misalnya, log berbasis teks dikompresi dengan baik dan dapat menghemat bandwidth yang signifikan dengan penggunaan CPU yang rendah. Namun, payload paket mentah terenkripsi tidak dikompresi dengan baik dan menyebabkan penggunaan CPU yang lebih tinggi.

Karena sebagian besar jenis log yang diserap oleh forwarder dapat dikompresi secara efisien, kompresi log diaktifkan secara default untuk mengurangi pemakaian bandwidth. Namun, jika peningkatan penggunaan CPU melebihi manfaat penghematan bandwidth, Anda dapat menonaktifkan kompresi dengan menetapkan kolom compression ke false di file konfigurasi Forwarder Chronicle seperti yang ditunjukkan dalam contoh berikut:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Mengaktifkan TLS untuk konfigurasi syslog

Anda dapat mengaktifkan Transport Layer Security (TLS) untuk koneksi syslog ke Chronicle forwarder. Di file konfigurasi penerus Chronicle, tentukan lokasi sertifikat dan kunci sertifikat Anda seperti yang ditunjukkan pada contoh berikut:

sertifikat	C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem
certificate_key	C:/opt/chronicle/external/certs/forwarder.key

Berdasarkan contoh yang ditampilkan, konfigurasi penerus Chronicle akan diubah sebagai berikut:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Anda dapat membuat direktori sertifikat di bawah direktori konfigurasi dan menyimpan file sertifikat di sana.

Mengumpulkan data paket

Forwarder Chronicle dapat menangkap paket langsung dari antarmuka jaringan menggunakan Npcap di sistem Windows.

Paket diambil dan dikirim ke Google Cloud, bukan entri log. Pengambilan gambar hanya dilakukan dari antarmuka lokal.

Hubungi Dukungan Chronicle untuk memperbarui file konfigurasi penerusan Chronicle guna mendukung pengambilan paket.

Untuk menjalankan forwarder Packet Capture (PCAP), Anda memerlukan hal berikut:

• Instal Npcap pada host Microsoft Windows.

• Berikan hak istimewa administrator atau root penerusan Chronicle untuk memantau antarmuka jaringan.

• Opsi command line tidak diperlukan.

• Pada penginstalan Npcap, aktifkan mode kompatibilitas WinPcap.

Untuk mengonfigurasi penerus PCAP, Google Cloud memerlukan GUID untuk antarmuka yang digunakan untuk menangkap paket. Jalankan getmac.exe di komputer tempat Anda berencana menginstal forwarder Chronicle (baik server atau mesin yang memproses port span) dan mengirim output ke Chronicle.

Atau, Anda dapat mengubah file konfigurasi. Temukan bagian PCAP dan ganti nilai GUID yang ditampilkan di samping antarmuka dengan GUID yang ditampilkan dari menjalankan getmac.exe.

Misalnya, berikut ini adalah bagian PCAP asli:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Berikut adalah output dari menjalankan getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Dan terakhir, inilah bagian PCAP yang direvisi dengan GUID yang baru:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Mengumpulkan data WebProxy

Forwarder Chronicle dapat mengambil data WebProxy langsung dari antarmuka jaringan menggunakan Npcap dan mengirimkannya ke Google Cloud.

Untuk mengaktifkan pengambilan data WebProxy untuk sistem Anda, hubungi Dukungan Chronicle.

Sebelum Anda menjalankan penerusan WebProxy, lakukan hal berikut:

1. Instal Npcap pada host Microsoft Windows. Aktifkan mode kompatibilitas WinPcap selama penginstalan.

2. Berikan hak istimewa administrator atau root ke penerusan Chronicle untuk memantau antarmuka jaringan.

3. Untuk mengonfigurasi Forwarder WebProxy, Google Cloud memerlukan GUID untuk antarmuka yang digunakan untuk merekam paket WebProxy.

   Jalankan getmac.exe di komputer tempat Anda ingin menginstal penerusan Chronicle dan kirim outputnya ke Chronicle. Atau, Anda dapat mengubah file konfigurasi. Temukan bagian WebProxy dan ganti GUID yang ditampilkan di samping antarmuka dengan GUID yang ditampilkan setelah getmac.exe dijalankan.

   Ubah file konfigurasi penerusan Chronicle (FORWARDER_NAME.conf) sebagai berikut:

     - webproxy:
       common:
           enabled : true
           data_type: <Your LogType>
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
         bpf: tcp and dst port 80