Eseguibile Chronicle forwarding per Windows

Questo documento descrive come installare e configurare l'inoltratore Chronicle su Microsoft Windows.

Personalizzare i file di configurazione

In base alle informazioni che hai inviato prima del deployment, Google Cloud fornisce un file eseguibile e un file di configurazione facoltativo per l'inoltratore di Chrome. Il file eseguibile deve essere eseguito solo sull'host per cui è stato configurato. Ciascun file eseguibile include una configurazione specifica per l'istanza del server forwarding della rete sulla tua rete. Se devi modificare la configurazione, contatta l'assistenza di Chronicle.

Requisiti di sistema

Di seguito sono riportati consigli generali. Per consigli specifici per il tuo sistema, contatta l'assistenza Chronicle.

Versione di Windows Server: l'inoltro Chronicle è supportato nelle seguenti versioni di Microsoft Windows Server:
- R2 2008
- R2 2012
- 2016
RAM: 1,5 GB per ogni tipo di dati raccolto. Ad esempio, il rilevamento e la risposta degli endpoint (EDR), DNS e DHCP sono tutti tipi di dati distinti. Sono necessari 4,5 GB di RAM per raccogliere dati per tutti e tre.
CPU: 2 CPU sono sufficienti per gestire meno di 10.000 eventi al secondo (EPS) (totale per tutti i tipi di dati). Se prevedi di inoltrare più di 10.000 EPS, sono necessarie da 4 a 6 CPU.
Disco: 100 MB di spazio su disco sono sufficienti indipendentemente dalla quantità di dati gestita dall'inoltro Chronicle. Per impostazione predefinita, lo inoltro di Chronicle non esegue il buffering sul disco. È possibile eseguire il buffer del disco aggiungendo i parametri write_to_disk_buffer_enabled e write_to_disk_dir_path nel file di configurazione.

Ad esempio:
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

Intervalli di indirizzi IP di Google

Potrebbe essere necessario aprire l'intervallo di indirizzi IP durante la configurazione della configurazione di inoltro di Chronicle, ad esempio durante la configurazione del firewall. Google non è in grado di fornire un elenco specifico di indirizzi IP. Tuttavia, puoi osservare gli intervalli di indirizzi IP di Google.

Verifica la configurazione del firewall

Se sono presenti firewall o proxy autenticati tra il container di inoltro di Chronicle e Internet, questi richiedono regole per consentire l'accesso ai seguenti host di Google Cloud:

Tipo di connessione	Destinazione	Port (Porta)
TCP	`malachiteingestion-pa.googleapis.com`	443
TCP	`europe-malachiteingestion-pa.googleapis.com`	443
TCP	`europe-west2-malachiteingestion-pa.googleapis.com`	443
TCP	`asia-southeast1-malachiteingestion-pa.googleapis.com`	443
TCP	`australia-southeast1-malachiteingestion-pa.googleapis.com`	443
TCP	`accounts.google.com`	443
TCP	`gcr.io`	443
TCP	`oauth2.googleapis.com`	443
TCP	`storage.googleapis.com`	443

Per controllare la connettività di rete a Google Cloud:

Avvia Windows PowerShell con privilegi amministrativi (fai clic su Avvia, digita PowerShell, fai clic con il tasto destro del mouse su Windows PowerShell e fai clic su Esegui come amministratore).

Esegui questo comando. TcpTestSucceeded dovrebbe restituire true.

C:\> test-netconnection <host> -port <port>

Ad esempio:

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Puoi anche utilizzare lo strumento di inoltro di Chronicle per controllare la connettività di rete:

Avvia il prompt dei comandi con privilegi amministrativi (fai clic su Avvia, digita Command Prompt, quindi fai clic con il tasto destro del mouse su Prompt dei comandi e fai clic su Esegui come amministratore).
Per verificare la connettività di rete, esegui lo forwarding di Chronicle con l'opzione -test.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

Installare lo strumento di inoltro di Chronicle su Windows

Su Windows, l'eseguibile dell'inoltro Chronicle deve essere installato come servizio.

Copia il file chronicle_forwarder.exe e il file di configurazione in una directory di lavoro.
Avvia il prompt dei comandi con privilegi amministrativi (fai clic su Avvia, digita Command Prompt, quindi fai clic con il tasto destro del mouse su Prompt dei comandi e fai clic su Esegui come amministratore).
Per installare il servizio, vai alla directory di lavoro creata al passaggio 1 ed esegui questo comando:
```
The service is installed to C:\Windows\system32\ChronicleForwarder
```
Per avviare il servizio, esegui questo comando:
```
C:\> sc.exe start chronicle_forwarder
```

Verifica che lo inoltro di Chronicle sia in esecuzione

Lo inoltro di Chronicle dovrebbe avere una connessione di rete aperta sulla porta 443 e i tuoi dati dovrebbero essere visualizzati nell'interfaccia web di Chronicle in pochi minuti.

Puoi verificare che l'inoltratore Chronicle sia in esecuzione utilizzando uno dei seguenti metodi:

Task Manager: vai alla scheda Processi > Processi in background > chronicle_forwarder.
Monitoraggio risorse: nella scheda Rete, l'applicazione chronicle_forwarder.exe deve essere elencata in Attività di rete (ogni volta che l'applicazione chronicle_forwarder.exe si connette a Google Cloud), in Connessioni TCP e in Porte di ascolto.

Visualizza i log di inoltro

I file di log dell'inoltro Chronicle vengono archiviati nella cartella C:\Windows\Temp. I file di log iniziano con chronicle_forwarder.exe.win-forwarder. I file di log forniscono una serie di informazioni, inclusi il momento in cui è stato avviato il server di inoltro e l'inizio dell'invio dei dati a Google Cloud.

Disinstallare lo strumento di inoltro di Chronicle

Per disinstallare il servizio di inoltro di Chronicle, completa i seguenti passaggi:

Apri il prompt dei comandi in modalità amministratore.

Interrompi il servizio di inoltro di Chronicle:

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

Vai alla directory C:\Windows\system32\ChronicleForwarder e disinstalla il servizio di inoltro di Chronicle: C:\> .\chronicle_forwarder.exe -uninstall

Esegui l'upgrade dell'inoltratore di Chronicle

Per eseguire l'upgrade dell'inoltratore Chronicle mentre continui a utilizzare il file di configurazione attuale, procedi nel seguente modo:

Apri il prompt dei comandi in modalità amministratore.
Copia il file di configurazione dalla directory C:\Windows\system32\ChronicleForwarder in un'altra directory.
Interrompere l'inoltro di Chronicle:
```
C:\> sc.exe stop chronicle_forwarder
```
Disinstalla il servizio di inoltro di Chronicle e l'applicazione:
```
C:\> .\chronicle_forwarder.exe --uninstall
```
Elimina tutti i file nella directory C:\windows\system32\ChronicleForwarder.
Copia la nuova applicazione chronicle_forwarder.exe e il file di configurazione originale in una directory funzionante.

Dalla directory di lavoro, esegui il comando seguente:

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

Avvia il servizio:
```
C:\ sc.exe start chronicle_forwarder
```

Raccogli i dati Splunk

Contatta l'assistenza Chronicle per aggiornare il file di configurazione dello strumento di inoltro di Chronicle per inoltrare i dati Splunk a Google Cloud.

Raccogli i dati syslog

L'inoltro Chronicle può funzionare come server syslog, il che significa che puoi configurare qualsiasi appliance o server che supporti l'invio di dati syslog tramite una connessione TCP o UDP per inoltrare i propri dati all'inoltratore Chronicle. Puoi controllare esattamente quali dati invia l'appliance o il server all'inoltratore di Chronicle, che può quindi inoltrare i dati a Google Cloud.

Il file di configurazione dello strumento di inoltro di Chronicle specifica le porte da monitorare per ogni tipo di dati inoltrati (ad esempio la porta 10514). Per impostazione predefinita, l'inoltratore Chronicle accetta sia le connessioni TCP sia UDP. Contatta l'assistenza di Chronicle per aggiornare il file di configurazione dell'inoltratore di Chronicle in modo che supporti il sistema syslog.

Attiva/disattiva la compressione dei dati

La compressione dei log riduce il consumo della larghezza di banda di rete durante il trasferimento dei log a Chronicle. Tuttavia, la compressione potrebbe causare un aumento dell'utilizzo della CPU. Il compromesso tra l'utilizzo della CPU e la larghezza di banda dipende da molti fattori, tra cui il tipo di dati di log, la comprimibilità di questi dati, la disponibilità dei cicli della CPU sull'host che esegue il server forwarding e la necessità di ridurre il consumo di larghezza di banda di rete.

Ad esempio, i log basati su testo si comprimono bene e possono fornire un notevole risparmio di larghezza di banda con un utilizzo ridotto della CPU. Tuttavia, i payload criptati dei pacchetti non elaborati non si comprimono bene e comportano un maggiore utilizzo della CPU.

Poiché la maggior parte dei tipi di log importati dallo strumento di forwarding è comprimibile in modo efficiente, la compressione dei log è abilitata per impostazione predefinita per ridurre il consumo della larghezza di banda. Tuttavia, se l'aumento dell'utilizzo della CPU supera il vantaggio dei risparmi di larghezza di banda, puoi disattivare la compressione impostando il campo compression su false nel file di configurazione dello strumento di inoltro di Chronicle come mostrato nell'esempio seguente:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Abilita TLS per le configurazioni syslog

Puoi abilitare il Transport Layer Security (TLS) per la connessione syslog allo strumento di forwarding Chronicle. Nel file di configurazione dello strumento di inoltro di Chronicle, specifica la posizione del certificato e della chiave del certificato come mostrato nell'esempio seguente:

certificato	`/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
chiave_certificato	`/opt/chronicle/external/certs/forwarder.key`

In base all'esempio mostrato, la configurazione dell'inoltratore Chronicle verrebbe modificata nel seguente modo:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "/opt/chronicle/external/certs/forwarder.key"

Puoi creare una directory di certificati nella directory di configurazione e archiviare i file del certificato.

Raccogli i dati del pacchetto

Lo forwarding di Chronicle può acquisire pacchetti direttamente da un'interfaccia di rete utilizzando Npcap sui sistemi Windows.

I pacchetti vengono acquisiti e inviati a Google Cloud anziché alle voci di log. L'acquisizione avviene solo da un'interfaccia locale.

Contatta l'assistenza di Chronicle per aggiornare il file di configurazione dell'inoltratore di Chronicle in modo che supporti l'acquisizione dei pacchetti.

Per eseguire un servizio di invio di pacchetti (PCAP), devi disporre di:

Installa Npcap sull'host Microsoft Windows.
Concedi i privilegi di amministratore o di amministratore dell'inoltro Chronicle per monitorare l'interfaccia di rete.
Non sono necessarie opzioni a riga di comando.
Durante l'installazione di Npcap, attiva la modalità di compatibilità di WinPcap.

Per configurare un inoltro PCAP, Google Cloud ha bisogno del GUID per l'interfaccia utilizzata per acquisire i pacchetti. Esegui getmac.exe sul computer su cui prevedi di installare l'inoltratore Chronicle (il server o la macchina in ascolto sulla porta span) e invia l'output a Chronicle.

In alternativa, puoi modificare il file di configurazione. Individua la sezione PCAP e sostituisci il valore GUID visualizzato accanto all'interfaccia con il GUID visualizzato dall'esecuzione di getmac.exe.

Ad esempio, ecco una sezione PCAP originale:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Ecco l'output dell'esecuzione di getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Infine, ecco la nuova sezione PCAP con il nuovo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53