Questa pagina è stata tradotta dall'API Cloud Translation.

Eseguibile del forwarder di Google Security Operations per Windows

Supportato in:

Google SecOps SIEM

Questo documento descrive come installare e configurare il forwarder di Google Security Operations su Microsoft Windows.

Personalizza i file di configurazione

In base alle informazioni che hai inviato prima del deployment, Google Cloud ti fornisce un file eseguibile e un file di configurazione facoltativo per il forwarder di Google Security Operations. Il file eseguibile deve essere eseguito solo sull'host per cui è stato configurato. Ogni file eseguibile include la configurazione specifica per l'istanza del forwarder di Google Security Operations sulla tua rete. Se devi modificare la configurazione, contatta l'assistenza di Google Security Operations.

Requisiti di sistema

Di seguito sono riportati alcuni consigli generali. Per consigli specifici per il tuo sistema, contatta l'assistenza di Google Security Operations.

Versione di Windows Server: il forwarder di Google Security Operations è supportato sulle seguenti versioni di Microsoft Windows Server:
- 2008 R2
- 2012 R2
- 2016
RAM: 1,5 GB per ogni tipo di dati raccolto. Ad esempio, il rilevamento e la risposta degli endpoint (EDR), il DNS e il DHCP sono tutti tipi di dati distinti. Per raccogliere i dati per tutti e tre, sono necessari 4,5 GB di RAM.
CPU: 2 CPU sono sufficienti per gestire meno di 10.000 eventi al secondo (EPS) (totale per tutti i tipi di dati). Se prevedi di inoltrare più di 10.000 EPS, sono necessarie da 4 a 6 CPU.
Disco: sono necessari 20 GB di spazio su disco, indipendentemente dalla quantità di dati gestita dal forwarder di Google Security Operations. Per impostazione predefinita, il forwarder di Google Security Operations non esegue il buffering sul disco, ma è consigliabile attivare il buffering sul disco. Puoi mettere in buffer il disco aggiungendo i parametri write_to_disk_buffer_enabled e write_to_disk_dir_path nel file di configurazione.

Ad esempio:
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

Intervalli di indirizzi IP di Google

Potresti dover aprire l'intervallo di indirizzi IP quando configuri una configurazione del forwarder di Google Security Operations, ad esempio quando configuri la configurazione del firewall. Non è possibile per Google fornire un elenco specifico di indirizzi IP. Tuttavia, puoi ottenere gli intervalli degli indirizzi IP di Google.

Verifica la configurazione del firewall

Se sono presenti firewall o proxy autenticati tra il contenitore del forwarder di Google Security Operations e internet, sono necessarie regole per consentire l'accesso ai seguenti Google Cloud host:

Tipo di connessione	Destinazione	Port (Porta)
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	europe-west9-malachiteingestion-pa.googleapis.com	443
TCP	europe-west12-malachiteingestion-pa.googleapis.com	443
TCP	me-central1-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	southamerica-east1-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	cloud.google.com/artifact-registry	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

Per verificare la connettività di rete a Google Cloud :

Avvia Windows PowerShell con i privilegi di amministratore (fai clic su Start, digita PowerShell, fai clic con il tasto destro del mouse su Windows PowerShell e poi su Esegui come amministratore).

Esegui questo comando. TcpTestSucceeded deve restituire true.

C:\> test-netconnection <host> -port <port>

Ad esempio:

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Puoi anche utilizzare il forwarder di Google Security Operations per controllare la connettività di rete:

Avvia il prompt dei comandi con privilegi amministrativi (fai clic su Start, digita Command Prompt, fai clic con il tasto destro del mouse su Prompt dei comandi e poi su Esegui come amministratore).
Per verificare la connettività di rete, esegui il forwarder di Google Security Operations con l'opzione -test.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

Installa il forwarder di Google Security Operations su Windows

Su Windows, l'eseguibile del forwarder di Google Security Operations deve essere installato come servizio.

Copia il file chronicle_forwarder.exe e il file di configurazione in una directory di lavoro.
Avvia il prompt dei comandi con privilegi amministrativi (fai clic su Start, digita Command Prompt, fai clic con il tasto destro del mouse su Prompt dei comandi e poi su Esegui come amministratore).
Per installare il servizio, vai alla directory di lavoro creata nel passaggio 1 ed esegui il seguente comando:
```
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
```
Sostituisci FILE_NAME con il nome del file di configurazione fornito.

Il servizio è installato in C:\Windows\system32\ChronicleForwarder.
Per avviare il servizio, esegui il seguente comando:
```
C:\> sc.exe start chronicle_forwarder
```

Verifica che il forwarder di Google Security Operations sia in esecuzione

Il forwarder di Google Security Operations deve avere una connessione di rete aperta sulla porta 443 e i dati devono essere visualizzati nell'interfaccia web di Google Security Operations entro pochi minuti.

Puoi verificare che il forwarder di Google Security Operations sia in esecuzione utilizzando uno dei seguenti metodi:

Task Manager: vai alla scheda Processi > Processi in background > chronicle_forwarder.
Monitor delle risorse: nella scheda Rete, l'applicazione chronicle_forwarder.exe dovrebbe essere elencata in Attività di rete (ogni volta che l'applicazione chronicle_forwarder.exe si connette a Google Cloud), in Connessioni TCP e in Porte di ascolto.

Visualizza i log del forwarder

I file di log del forwarder di Google Security Operations sono archiviati nella cartella C:\Windows\Temp. I file di log iniziano con chronicle_forwarder.exe.win-forwarder. I file di log forniscono una serie di informazioni, tra cui quando è stato avviato il forwarder e quando ha iniziato a inviare dati a Google Cloud.

Disinstalla il forwarder di Google Security Operations

Per disinstallare il servizio di inoltro di Google Security Operations, completa i seguenti passaggi:

Apri il prompt dei comandi in modalità amministratore.

Interrompi il servizio di inoltro di Google Security Operations:

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

Vai alla directory C:\Windows\system32\ChronicleForwarder e disinstalla il servizio di inoltro di Google Security Operations: C:\> .\chronicle_forwarder.exe -uninstall

Esegui l'upgrade del forwarder di Google Security Operations

Per eseguire l'upgrade del forwarder di Google Security Operations continuando a utilizzare il file di configurazione corrente, svolgi i seguenti passaggi:

Apri il prompt dei comandi in modalità amministratore.
Copia il file di configurazione dalla directory C:\Windows\system32\ChronicleForwarder in un'altra directory.
Interrompi il forwarder di Google Security Operations:
```
C:\> sc.exe stop chronicle_forwarder
```
Disinstalla il servizio e l'applicazione di inoltro di Google Security Operations:
```
C:\> .\chronicle_forwarder.exe --uninstall
```
Elimina tutti i file nella directory C:\windows\system32\ChronicleForwarder.
Copia la nuova applicazione chronicle_forwarder.exe e il file di configurazione originale in una directory di lavoro.

Dalla directory di lavoro, esegui il seguente comando:

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

Avvia il servizio:
```
C:\ sc.exe start chronicle_forwarder
```

Raccogliere i dati di Splunk

Contatta l'assistenza di Google Security Operations per aggiornare il file di configurazione del forwarder di Google Security Operations in modo da inoltrare i dati di Splunk a Google Cloud.

Raccogliere i dati syslog

Il forwarder di Google Security Operations può funzionare come server syslog, il che significa che puoi configurare qualsiasi appliance o server che supporta l'invio di dati syslog tramite una connessione TCP o UDP in modo che inoltri i dati al forwarder di Google Security Operations. Puoi controllare esattamente quali dati l'appliance o il server invia al forwarder di Google Security Operations, che può poi inoltrarli a Google Cloud.

Il file di configurazione del forwarder di Google Security Operations specifica le porte da monitorare per ogni tipo di dati inoltrati (ad esempio la porta 10514). Per impostazione predefinita, il forwarder di Google Security Operations accetta sia le connessioni TCP sia quelle UDP. Contatta l'assistenza di Google Security Operations per aggiornare il file di configurazione del forwarder di Google Security Operations in modo che supporti syslog.

Attiva/disattiva la compressione dei dati

La compressione dei log riduce il consumo di larghezza di banda di rete durante il trasferimento dei log a Google Security Operations. Tuttavia, la compressione potrebbe causare un aumento dell'utilizzo della CPU. Il compromesso tra utilizzo della CPU e larghezza di banda dipende da molti fattori, tra cui il tipo di dati dei log, la compressibilità di questi dati, la disponibilità di cicli CPU sull'host che esegue il forwarder e la necessità di ridurre il consumo di larghezza di banda della rete.

Ad esempio, i log basati su testo si comprimono bene e possono offrire risparmi sostanziali in termini di larghezza di banda con un utilizzo ridotto della CPU. Tuttavia, i payload criptati dei pacchetti non compressi non si comprimono bene e comportano un maggiore utilizzo della CPU.

Poiché la maggior parte dei tipi di log importati dal forwarder è comprimibile in modo efficiente, la compressione dei log è abilitata per impostazione predefinita per ridurre il consumo di larghezza di banda. Tuttavia, se l'aumento dell'utilizzo della CPU supera il vantaggio del risparmio di larghezza di banda, puoi disattivare la compressione impostando il campo compression su false nel file di configurazione del forwarder di Google Security Operations, come mostrato nell'esempio seguente:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Attivare TLS per le configurazioni syslog

Puoi attivare Transport Layer Security (TLS) per la connessione syslog al forwarder di Google Security Operations. Nel file di configurazione del forwarder di Google Security Operations, specifica la posizione del certificato e della chiave del certificato come mostrato nell'esempio seguente:

certificato	`C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
certificate_key	`C:/opt/chronicle/external/certs/forwarder.key`

In base all'esempio mostrato, la configurazione del forwarder di Google Security Operations verrà modificata come segue:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Puoi creare una directory dei certificati nella directory di configurazione e archiviarvi i file dei certificati.

Raccogliere i dati dei pacchetti

Il forwarder di Google Security Operations può acquisire i pacchetti direttamente da un'interfaccia di rete utilizzando Npcap sui sistemi Windows.

I pacchetti vengono acquisiti e inviati a Google Cloud anziché alle voci di log. L'acquisizione viene eseguita solo da un'interfaccia locale.

Contatta l'assistenza di Google Security Operations per aggiornare il file di configurazione del forwarder di Google Security Operations in modo che supporti la cattura dei pacchetti.

Per eseguire un forwarder PCAP (Packet Capture), devi disporre di quanto segue:

Installa Npcap sull'host Microsoft Windows.
Concedi al forwarder di Google Security Operations i privilegi di amministratore o di utente root per monitorare l'interfaccia di rete.
Non sono necessarie opzioni della riga di comando.
Nell'installazione di Npcap, attiva la modalità di compatibilità WinPcap.

Per configurare un inoltro PCAP, Google Cloud è necessario il GUID dell'interfaccia utilizzata per acquisire i pacchetti. Esegui getmac.exe sulla macchina in cui prevedi di installare il forwarder di Google Security Operations (il server o la macchina in ascolto sulla porta span) e invia l'output a Google Security Operations.

In alternativa, puoi modificare il file di configurazione. Individua la sezione PCAP e sostituisci il valore GUID mostrato accanto all'interfaccia con il GUID visualizzato dall'esecuzione di getmac.exe.

Ad esempio, ecco una sezione PCAP originale:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Ecco l'output dell'esecuzione di getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Infine, ecco la sezione PCAP rivista con il nuovo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Raccogliere i dati di WebProxy

Il forwarder di Google Security Operations può acquisire i dati di WebProxy direttamente da un'interfaccia di rete utilizzando Npcap e inviarli a Google Cloud.

Per attivare l'acquisizione dei dati di WebProxy per il tuo sistema, contatta l'assistenza di Google Security Operations.

Prima di eseguire un inoltro WebProxy, segui questi passaggi:

Installa Npcap sull'host Microsoft Windows. Attiva la modalità di compatibilità WinPcap durante l'installazione.
Concedi i privilegi di amministratore o root al forwarder di Google Security Operations per monitorare l'interfaccia di rete.
Per configurare un forwarder WebProxy, Google Cloud è necessario il GUID per l'interfaccia utilizzata per acquisire i pacchetti WebProxy.

Esegui getmac.exe sulla macchina su cui vuoi installare il forwarder di Google Security Operations e invia l'output a Google Security Operations. In alternativa, puoi modificare il file di configurazione. Individua la sezione WebProxy e sostituisci il GUID visualizzato accanto all'interfaccia con quello visualizzato dopo l'esecuzione di getmac.exe.

Modifica il file di configurazione del forwarder di Google Security Operations (FORWARDER_NAME.conf) come segue:
```
  - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80
```

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.