Windows 用 Google Security Operations フォワーダー実行可能ファイル
このドキュメントでは、Microsoft Windows に Google Security Operations フォワーダーをインストールして構成する方法について説明します。
構成ファイルをカスタマイズする
Google Cloud は、デプロイ前に送信した情報に基づいて、Google Security Operations フォワーダーの実行可能ファイルとオプション構成ファイルを提供します。実行可能ファイルは、その構成が対象とするホストでのみ実行される必要があります。各実行可能ファイルには、ネットワーク上の Google Security Operations フォワーダー インスタンスに固有の構成が含まれています。構成を変更する必要がある場合は、Google Security Operations のサポートにお問い合わせください。
システム要件
一般的な最適化案は次のとおりです。システムに固有の最適化案については、Google Security Operations のサポートにお問い合わせください。
Windows Server のバージョン: Google Security Operations フォワーダーは、次のバージョンの Microsoft Windows Server でサポートされています。
2008 R2
2012 R2
2016
RAM: 収集されるデータの種類ごとに 1.5 GB。たとえば、エンドポイントの検出とレスポンス(EDR)、DNS、DHCP は別々のデータ型です。3 種類すべてのデータを収集するには、4.5 GB の RAM が必要になります。
CPU: 2 個の CPU は、10,000 EPS(1 秒あたりイベント数)(すべてのデータ型の合計)未満を処理するには十分です。10,000 を超える EPS を転送する予定の場合は、4~6 個の CPU が必要です。
ディスク: Google Security Operations フォワーダーで処理するデータの量に関係なく、100 MB のディスク容量で十分です。Google Security Operations フォワーダーは、デフォルトではディスクにバッファ保存しません。構成ファイルに
write_to_disk_buffer_enabledパラメータとwrite_to_disk_dir_pathパラメータを追加すると、ディスクをバッファリングできます。例:
- <collector>: common: ... write_to_disk_buffer_enabled: true write_to_disk_dir_path: <var>your_path</var> ...
Google IP アドレスの範囲
ファイアウォールの構成を設定するときなどに、Google Security Operations フォワーダーの構成を設定するときに、IP アドレス範囲を開くことが必要な場合があります。Google では、特定の IP アドレスのリストを提供することはできません。 ただし、Google の IP アドレス範囲を取得することはできます。
ファイアウォール構成を確認する
Google Security Operations フォワーダー コンテナとインターネットの間にファイアウォールまたは認証プロキシがある場合は、次の Google Cloud ホストへのアクセスを許可するルールが必要です。
| 接続タイプ | 宛先 | ポート |
| TCP | malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-northeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-south1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | australia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west3-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west6-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-central2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-west1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | northamerica-northeast2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | accounts.google.com | 443 |
| TCP | gcr.io | 443 |
| TCP | oauth2.googleapis.com | 443 |
| TCP | storage.googleapis.com | 443 |
Google Cloud へのネットワーク接続は、次の手順で確認できます。
管理者権限で Windows PowerShell を起動します([スタート] をクリックし、「
PowerShell」と入力して [Windows PowerShell] を右クリックし、[管理者として実行] をクリックします)。以下のコマンドを実行します。
TcpTestSucceededは true を返します。C:\> test-netconnection <host> -port <port>次に例を示します。
C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443 ComputerName : malchiteingestion-pa.googleapis.com RemoteAddress : 198.51.100.202 RemotePort : 443 InterfaceAlias : Ethernet SourceAddress : 10.168.0.2 TcpTestSucceeded : True
また、Google Security Operations フォワーダーを使用してネットワーク接続を確認することもできます。
管理者権限でコマンド プロンプトを起動します([スタート] をクリックし、「
Command Prompt」と入力して [コマンド プロンプト] を右クリックし、[管理者として実行] をクリックします)。ネットワーク接続を確認するには、
-testオプションを指定して Google Security Operations フォワーダーを実行します。C:\> .\chronicle_forwarder.exe -test Verify network connection succeeded!
Windows に Google Security Operations フォワーダーをインストールする
Windows では、Google Security Operations フォワーダーの実行可能ファイルをサービスとしてインストールする必要があります。
chronicle_forwarder.exeファイルと構成ファイルを作業ディレクトリにコピーします。管理者権限でコマンド プロンプトを起動します([スタート] をクリックし、「
Command Prompt」と入力して [コマンド プロンプト] を右クリックし、[管理者として実行] をクリックします)。サービスをインストールするには、ステップ 1 で作成した作業ディレクトリに移動して、次のコマンドを実行します。
C:\> .\chronicle_forwarder.exe -install -config FILE_NAMEFILE_NAMEは、提供された構成ファイルの名前に置き換えます。サービスは
C:\Windows\system32\ChronicleForwarderにインストールされます。サービスを開始するには、次のコマンドを実行します。
C:\> sc.exe start chronicle_forwarder
Google Security Operations フォワーダーが動作していることを確認する
Google Security Operations フォワーダーでは、ポート 443 でネットワーク接続が開いており、数分以内にデータが Google Security Operations ウェブ インターフェースに表示されます。
Google Security Operations フォワーダーが実行されていることは、次のいずれかの方法で確認できます。
タスク マネージャー: [プロセス] タブ > [バックグラウンド プロセス] > [chronicle_forwarder] に移動します。
リソース モニター: [ネットワーク] タブで、[ネットワーク アクティビティ] の下(
chronicle_forwarder.exeアプリケーションが Google Cloud に接続している場合)、TCP 接続の下、およびリッスン ポートの下にchronicle_forwarder.exeアプリケーションが表示されます。
フォワーダー ログを表示する
Google Security Operations フォワーダーのログファイルは、C:\Windows\Temp フォルダに保存されます。ログファイルは chronicle_forwarder.exe.win-forwarder で始まります。
ログファイルには、フォワーダーが開始された日時や Google Cloud へのデータの送信を開始した日時など、さまざまな情報が含まれます。
Google Security Operations フォワーダーをアンインストールする
Google Security Operations フォワーダー サービスをアンインストールするには、次の手順を行います。
管理者モードでコマンド プロンプトを開きます。
Google Security Operations フォワーダー サービスを停止します。
SERVICE_NAME: chronicle_forwarder TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0C:\Windows\system32\ChronicleForwarderディレクトリに移動し、Google Security Operations フォワーダー サービスC:\> .\chronicle_forwarder.exe -uninstallをアンインストールします。
Google Security Operations フォワーダーをアップグレードする
現在の構成ファイルを引き続き使いながら Google Security Operations フォワーダーをアップグレードするには、次の手順を行います。
管理者モードでコマンド プロンプトを開きます。
構成ファイルを
C:\Windows\system32\ChronicleForwarderディレクトリから別のディレクトリにコピーします。Google Security Operations フォワーダーを停止します。
C:\> sc.exe stop chronicle_forwarderGoogle Security Operations フォワーダー サービスとアプリケーションをアンインストールします。
C:\> .\chronicle_forwarder.exe --uninstallC:\windows\system32\ChronicleForwarderディレクトリ内のすべてのファイルを削除します。新しい
chronicle_forwarder.exeアプリケーションと元の構成ファイルを作業ディレクトリにコピーします。作業ディレクトリから、次のコマンドを実行します。
C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYouサービスを起動します。
C:\ sc.exe start chronicle_forwarder
Splunk データを収集する
Google Security Operations のサポートに連絡して、Google Security Operations フォワーダー構成ファイルを更新し Splunk データを Google Cloud に転送します。
syslog データを収集する
Google Security Operations フォワーダーは、Syslog サーバーとして運用できます。つまり、TCP や UDP 接続を介した syslog データの送信をサポートするアプライアンスやサーバーを構成して、Google Security Operations フォワーダーにデータを転送できます。アプライアンスやサーバーが Google Security Operations フォワーダーに送信するデータを正確に制御し、そこからデータを Google Cloud に転送できます。
Google Security Operations フォワーダー構成ファイルでは、転送される各データの種類ごとにモニタリングするポートを指定します(例: ポート 10514)。Google Security Operations フォワーダーは、デフォルトで TCP 接続と UDP 接続の両方を受け入れます。Google Security Operations のサポートにお問い合わせのうえ、Syslog をサポートするように Google Security Operations フォワーダー構成ファイルを更新してください。
データ圧縮を切り替える
ログ圧縮により、ログを Google Security Operations に転送する際のネットワーク帯域幅の使用量が削減されます。ただし、圧縮によって CPU 使用率が増加する場合があります。CPU 使用率と帯域幅のトレードオフは、ログデータのタイプ、データの圧縮率、フォワーダーを実行しているホスト上の CPU サイクルの可用性、ネットワーク帯域幅の使用量の削減の必要性など、さまざまな要因によって決まります。
たとえば、テキストベースのログは圧縮率が高く、低い CPU 使用率によって帯域幅を大幅に削減できます。一方、未加工のパケットの暗号化されたペイロードは圧縮率が低く、CPU 使用率が高くなります。
フォワーダーによって取り込まれるログタイプのほとんどは効率的に圧縮できるため、帯域幅の使用量を減らすために、デフォルトでログ圧縮が有効になっています。ただし、CPU 使用率の増加が帯域幅の節約によるメリットを上回る場合は、次の例に示すように、Google Security Operations フォワーダーの構成ファイルにある compression フィールドを false に設定することで圧縮を無効にできます。
compression: false
url: malachiteingestion-pa.googleapis.com:443
identity:
identity:
collector_id: 10479925-878c-11e7-9421-10604b7abba1
customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
secret_key: |
{
"type": "service_account",
...
syslog 構成用の TLS の有効化
Google Security Operations フォワーダーへの syslog 接続用に Transport Layer Security(TLS)を有効にできます。Google Security Operations フォワーダーの構成ファイルで、次の例に示すように、証明書と証明書鍵の場所を指定します。
| 証明書 | C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem |
| certificate_key | C:/opt/chronicle/external/certs/forwarder.key |
上述の例に基づいて、Google Security Operations フォワーダーの構成は次のように変更されます。
collectors:
- syslog:
common:
enabled: true
data_type: WINDOWS_DNS
data_hint:
batch_n_seconds: 10
batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10515
connection_timeout_sec: 60
certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"
構成ディレクトリの下に証明書ディレクトリを作成し、証明書ファイルを保存できます。
パケットデータを収集する
Google Security Operations フォワーダーでは、Windows システムの Npcap を使用してネットワーク インターフェースから直接パケットをキャプチャできます。
パケットはキャプチャされ、ログエントリではなく Google Cloud に送信されます。キャプチャはローカル インターフェースからのみ行われます。
Google Security Operations のサポートにお問い合わせのうえ、パケット キャプチャをサポートするよう Google Security Operations のフォワーダー構成ファイルを更新してください。
パケット キャプチャ(PCAP)フォワーダーを実行するには、次の要件を満たすことが必要です。
Microsoft Windows ホストに Npcap をインストールします。
Google Security Operations フォワーダーに root または管理者権限を付与して、ネットワーク インターフェースをモニタリングします。
コマンドライン オプションは必要ありません。
Npcap のインストールで、WinPcap 互換モードを有効にします。
PCAP フォワーダーを構成するには、パケットのキャプチャに使用するインターフェースに GUID が必要です。
Google Security Operations フォワーダーをインストールするマシン(サーバーまたはスパンポートをリッスンするマシン)で getmac.exe を実行し、出力を Google Security Operations に送信します。
別の方法では、構成ファイルを変更することでも可能です。PCAP セクションを見つけ、インターフェースの横にある GUID の値を、getmac.exe の実行で表示される GUID に置き換えます。
たとえば、次のような元の PCAP セクションがあるとします。
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
bpf: udp port 53
getmac.exe を実行した結果は次のとおりです。
C:\>getmac.exe
Physical Address Transport Name
===========================================================================
A4-73-9F-ED-E1-82 \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}
最後に、新しい GUID で修正した PCAP セクションを次に示します。
- pcap:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
bpf: udp port 53
WebProxy データを収集する
Google Security Operations フォワーダーは、Npcap を使用してネットワーク インターフェースから直接 WebProxy データをキャプチャし、Google Cloud に送信できます。
システムの WebProxy データ キャプチャを有効にするには、Google Security Operations のサポートにお問い合わせください。
WebProxy フォワーダーを実行する前に、次の操作を行います。
Microsoft Windows ホストに Npcap をインストールします。インストール中に WinPcap 互換モードを有効にします。
Google Security Operations フォワーダーに root または管理者権限を付与して、ネットワーク インターフェースをモニタリングします。
WebProxy フォワーダーを構成するには、Google Cloud では WebProxy パケットをキャプチャするインターフェースに GUID が必要です。
Google Security Operations フォワーダーをインストールするマシンで
getmac.exeを実行し、出力を Google Security Operations に送信します。別の方法では、構成ファイルを変更することでも可能です。[WebProxy] セクションを見つけ、インターフェースの横にある GUID を、getmac.exeの実行後に表示される GUID に置き換えます。Google Security Operations フォワーダーの構成(
FORWARDER_NAME.conf)ファイルを次のように変更します。- webproxy: common: enabled : true data_type: <Your LogType> batch_n_seconds: 10 batch_n_bytes: 1048576 interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734} bpf: tcp and dst port 80