Windows 用 Google Security Operations フォワーダー実行可能ファイル

このドキュメントでは、Microsoft Windows 上で Google Security Operations フォワーダーをインストールして構成する方法について説明します。

構成ファイルをカスタマイズする

デプロイ前にユーザーから提出された情報に基づいて、 Google Cloudは Google Security Operations フォワーダーの実行可能ファイルとオプションの構成ファイルを提供します。実行可能ファイルは、その構成が対象とするホストでのみ実行される必要があります。各実行可能ファイルには、ネットワーク上の Google Security Operations フォワーダー インスタンスに固有の構成が含まれています。構成を変更する必要がある場合は、Google Security Operations　のサポートにお問い合わせください。

システム要件

一般的な最適化案は次のとおりです。システムに固有の最適化案については、Google Security Operations のサポートにお問い合わせください。

• Windows Server のバージョン: Google Security Operations フォワーダーは、次のバージョンの Microsoft Windows Server でサポートされています。

  • 2008 R2

  • 2012 R2

  • 2016

• RAM: 収集されるデータの種類ごとに 1.5 GB。たとえば、エンドポイントの検出とレスポンス（EDR）、DNS、DHCP は別々のデータ型です。3 種類すべてのデータを収集するには、4.5 GB の RAM が必要になります。

• CPU: 2 個の CPU は、10,000 EPS（1 秒あたりイベント数）（すべてのデータ型の合計）未満を処理するには十分です。10,000 を超える EPS を転送する予定の場合は、4～6 個の CPU が必要です。

• ディスク: Google Security Operations フォワーダーで処理するデータの量に関係なく、20 GB のディスク空き容量が必要です。Google Security Operations フォワーダーは、デフォルトではディスクへのバッファリングを行いませんが、ディスク バッファリングを有効にすることをおすすめします。ディスクをバッファリングするには、構成ファイルに write_to_disk_buffer_enabled パラメータと write_to_disk_dir_path パラメータを追加します。

  例:

  - <collector>:
       common:
           ...
           write_to_disk_buffer_enabled: true
           write_to_disk_dir_path: <var>your_path</var>
           ...
  

Google IP アドレスの範囲

Google Security Operations フォワーダーの構成を設定するときに、IP アドレス範囲への通信を許可することが必要な場合があります。たとえば、ファイアウォールの構成を設定するときです。Google では、特定の IP アドレスのリストを提供することはできません。 ただし、ユーザーが Google の IP アドレスの範囲を取得することはできます。

ファイアウォール構成を確認する

Google Security Operations フォワーダー コンテナとインターネットの間にファイアウォールまたは認証ありプロキシがある場合は、次の Google Cloud ホストへのアクセスを許可するルールが必要です。

Google Cloud へのネットワーク接続は、次の手順で確認できます。

1. 管理者権限で Windows PowerShell を起動します（[スタート] をクリックして「PowerShell」と入力し、[Windows PowerShell] を右クリックして [管理者として実行] をクリックします）。

2. 以下のコマンドを実行します。TcpTestSucceeded は true を返す必要があります。

   C:\> test-netconnection <host> -port <port>

   例:

   C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
   ComputerName     : malchiteingestion-pa.googleapis.com
   RemoteAddress    : 198.51.100.202
   RemotePort       : 443
   InterfaceAlias   : Ethernet
   SourceAddress    : 10.168.0.2
   TcpTestSucceeded : True
   

Google Security Operations フォワーダーを使用してネットワーク接続を確認することもできます。

1. 管理者権限でコマンド プロンプトを起動します（[スタート] をクリックし、「Command Prompt」と入力して [コマンド プロンプト] を右クリックし、[管理者として実行] をクリックします）。

2. ネットワーク接続を確認するには、-test オプションを指定して Google Security Operations フォワーダーを実行します。

   C:\> .\chronicle_forwarder.exe -test
   Verify network connection succeeded!
   

Windows に Google Security Operations フォワーダーをインストールする

Windows 上では、Google Security Operations フォワーダーの実行可能ファイルをサービスとしてインストールする必要があります。

1. chronicle_forwarder.exe ファイルと構成ファイルを作業ディレクトリにコピーします。

2. 管理者権限でコマンド プロンプトを起動します（[スタート] をクリックし、「Command Prompt」と入力して [コマンド プロンプト] を右クリックし、[管理者として実行] をクリックします）。

3. サービスをインストールするために、ステップ 1 で作成した作業ディレクトリに移動し、次のコマンドを実行します。

   C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
   

   FILE_NAME は、提供された構成ファイルの名前に置き換えてください。

   サービスは C:\Windows\system32\ChronicleForwarder にインストールされます。

4. サービスを開始するために、次のコマンドを実行します。

   C:\> sc.exe start chronicle_forwarder
   

Google Security Operations フォワーダーが実行中であることを確認する

Google Security Operations フォワーダーのネットワーク接続がポート 443 で開き、数分以内にデータが Google Security Operations ウェブ インターフェースに表示されるはずです。

Google Security Operations フォワーダーが実行されていることを確認するには、次のいずれかの方法を使用します。

• タスク マネージャー: [プロセス] タブ > [バックグラウンド プロセス] > [chronicle_forwarder] に移動します。

• リソース モニター: [ネットワーク] タブの [ネットワーク活動] の下（chronicle_forwarder.exe アプリケーションが Google Cloudに接続している場合）、[TCP 接続] の下、および [リッスン ポート] の下に chronicle_forwarder.exe アプリケーションが表示されます。

フォワーダーのログを表示する

Google Security Operations フォワーダーのログファイルは C:\Windows\Temp フォルダに保存されます。ログファイルは chronicle_forwarder.exe.win-forwarder で始まります。 ログファイルには、フォワーダーがいつ起動したか、 Google Cloudへのデータ送信がいつ開始したかなど、さまざまな情報が記録されます。

Google Security Operations フォワーダーをアンインストールする

Google Security Operations フォワーダー サービスをアンインストールする手順は次のとおりです。

1. 管理者モードでコマンド プロンプトを開きます。

2. 次に示す Google Security Operations フォワーダー サービスを停止します。

   SERVICE_NAME: chronicle_forwarder
   TYPE               : 10  WIN32_OWN_PROCESS
   STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
   WIN32_EXIT_CODE    : 0  (0x0)
   SERVICE_EXIT_CODE  : 0  (0x0)
   CHECKPOINT         : 0x0
   WAIT_HINT          : 0x0
   

3. C:\Windows\system32\ChronicleForwarder ディレクトリに移動し、Google Security Operations フォワーダー サービス C:\> .\chronicle_forwarder.exe -uninstall をアンインストールします。

Google Security Operations フォワーダーをアップグレードする

現在の構成ファイルを引き続き使いながら Google Security Operations フォワーダーをアップグレードするには、次の手順を行います。

1. 管理者モードでコマンド プロンプトを開きます。

2. 構成ファイルを C:\Windows\system32\ChronicleForwarder ディレクトリから別のディレクトリにコピーします。

3. Google Security Operations フォワーダーを停止します。

   C:\> sc.exe stop chronicle_forwarder
   

4. Google Security Operations フォワーダー サービスとアプリケーションをアンインストールします。

   C:\> .\chronicle_forwarder.exe --uninstall
   

5. C:\windows\system32\ChronicleForwarder ディレクトリ内のすべてのファイルを削除します。

6. 新しい chronicle_forwarder.exe アプリケーションと元の構成ファイルを作業ディレクトリにコピーします。

7. 作業ディレクトリから次のコマンドを実行します。

   C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
   

8. サービスを起動します。

   C:\ sc.exe start chronicle_forwarder
   

Splunk データを収集する

Google Security Operations　のサポートにお問い合わせのうえ、Splunk データを Google Cloudに転送するように Google Security Operations フォワーダー構成ファイルを更新してください。

syslog データを収集する

Google Security Operations フォワーダーは、Syslog サーバーとして運用できます。つまり、TCP または UDP 接続を介した syslog データの送信をサポートする任意のアプライアンスまたはサーバーのデータを Google Security Operations フォワーダーに転送するように構成できます。ユーザーは、どのデータをアプライアンスまたはサーバーから Google Security Operations フォワーダーに送信してそのデータを Google Cloudに転送するかを正確に制御できます。

Google Security Operations フォワーダー構成ファイルでは、転送されるデータの種類ごとにどのポートをモニタリングするかを指定します（例: ポート 10514）。デフォルトでは、Google Security Operations フォワーダーは TCP 接続と UDP 接続の両方を受け入れます。Google Security Operations　のサポートにお問い合わせのうえ、Syslog をサポートするように Google Security Operations フォワーダー構成ファイルを更新してください。

データ圧縮を切り替える

ログ圧縮を行うと、ログを Google Security Operations に転送する際のネットワーク帯域幅の使用量が削減されます。ただし、圧縮によって CPU 使用率が増加する場合があります。CPU 使用率と帯域幅のトレードオフは、ログデータのタイプ、データの圧縮率、フォワーダーを実行しているホスト上の CPU サイクルの可用性、ネットワーク帯域幅の使用量の削減の必要性など、さまざまな要因によって決まります。

たとえば、テキストベースのログは圧縮率が高く、低い CPU 使用率によって帯域幅を大幅に削減できます。一方、未加工のパケットの暗号化されたペイロードは圧縮率が低く、CPU 使用率が高くなります。

フォワーダーによって取り込まれるログタイプのほとんどは効率的に圧縮できるため、帯域幅の使用量を減らすために、デフォルトでログ圧縮が有効になっています。ただし、CPU 使用率の増加が帯域幅の節約によるメリットを上回る場合は、次の例に示すように、Google Security Operations フォワーダーの構成ファイルにある compression フィールドを false に設定することで圧縮を無効にできます。

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

syslog 構成用の TLS の有効化

Google Security Operations フォワーダーへの syslog 接続に対して Transport Layer Security（TLS）を有効にできます。Google Security Operations フォワーダーの構成ファイルの中で、次の例に示すように、証明書と証明書鍵の場所を指定します。

ここに示した例に基づくと、Google Security Operations フォワーダーの構成は次のように変更されます。

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

構成ディレクトリの下に証明書ディレクトリを作成し、証明書ファイルを保存できます。

パケットデータを収集する

Google Security Operations フォワーダーでは、Windows システムの Npcap を使用してネットワーク インターフェースから直接パケットをキャプチャできます。

パケットはキャプチャされ、ログエントリではなく Google Cloud に送信されます。キャプチャはローカル インターフェースからのみ行われます。

Google Security Operations　のサポートにお問い合わせのうえ、パケット キャプチャをサポートするよう Google Security Operations　のフォワーダー構成ファイルを更新してください。

パケット キャプチャ（PCAP）フォワーダーを実行するには、次の要件を満たすことが必要です。

• Microsoft Windows ホストに Npcap をインストールします。

• ネットワーク インターフェースをモニタリングするための root または管理者権限を Google Security Operations フォワーダーに付与します。

• コマンドライン オプションは必要ありません。

• Npcap のインストール時に、WinPcap 互換モードを有効にします。

Google Cloud で PCAP フォワーダーを構成するには、パケットのキャプチャに使用するインターフェースの GUID が必要です。Google Security Operations フォワーダーをインストールする予定のマシン（SPAN ポートをリッスンするサーバーまたはマシン）で getmac.exe を実行し、出力を Google Security Operations に送信してください。

別の方法では、構成ファイルを変更することでも可能です。PCAP セクションを見つけ、インターフェースの横にある GUID の値を、getmac.exe の実行で表示される GUID に置き換えます。

たとえば、次のような元の PCAP セクションがあるとします。

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

getmac.exe の実行による出力は次のとおりです。

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

最後に、新しい GUID で修正した PCAP セクションを次に示します。

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

WebProxy データを収集する

Google Security Operations フォワーダーは、Npcap を使用してネットワーク インターフェースから直接 WebProxy データをキャプチャし、 Google Cloudに送信できます。

システムの WebProxy データ キャプチャを有効にするには、Google Security Operations　のサポートにお問い合わせください。

WebProxy フォワーダーを実行する前に、次のことを行います。

1. Microsoft Windows ホストに Npcap をインストールします。インストール時に WinPcap 互換モードを有効にします。

2. ネットワーク インターフェースをモニタリングするための root 権限または管理者権限を Google Security Operations フォワーダーに付与します。

3. Google Cloud で WebProxy フォワーダーを構成するには、WebProxy パケットのキャプチャに使用するインターフェースの GUID が必要です。

   Google Security Operations フォワーダーをインストールするマシンで getmac.exe を実行し、出力を Google Security Operations に送信します。別の方法では、構成ファイルを変更することでも可能です。WebProxy セクションを見つけ、インターフェースの横にある GUID を、getmac.exe の実行後に表示された GUID に置き換えます。

   Google Security Operations フォワーダーの構成（FORWARDER_NAME.conf）ファイルを次のように変更します。

     - webproxy:
       common:
           enabled : true
           data_type: <Your LogType>
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
         bpf: tcp and dst port 80
   

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。