Windows에서 전달자 설치 및 구성

이 문서에서는 Microsoft Windows에 전달자를 설치하고 구성하는 방법을 설명합니다.

구성 파일 맞춤설정

배포 전 제출한 정보에 따라 Google Cloud는 전달자에 대해 실행 파일 및 선택적인 구성 파일을 제공합니다. 실행 파일은 구성된 호스트에서만 실행해야 합니다. 각 실행 파일에는 네트워크의 전달자 인스턴스와 관련된 구성이 포함됩니다. 구성을 수정해야 하면 Chronicle 지원팀에 문의하세요.

시스템 요구사항

다음은 일반적인 권장사항입니다. 시스템별 권장사항은 Chronicle 지원팀에 문의하세요.

  • Windows Server 버전—Chronicle 전달자는 Microsoft Windows Server의 다음 버전에서 지원됩니다.

    • 2008 R2
    • 2012 R2
    • 2016
  • RAM—각 수집된 데이터 유형별로 1.5GB가 필요합니다. 예를 들어 엔드포인트 감지 및 응답(EDR), DNS, DHCP는 모두 개별 데이터 유형입니다. 세 가지 모두 데이터를 수집하려면 4.5GB RAM이 필요합니다.

  • CPU—10,000보다 낮은 초당 이벤트(EPS) 수를 처리하려면 2개 CPU로 충분합니다(모든 데이터 유형 합계). 10,000 초과 EPS를 전달해야 하면 4~6개 CPU가 필요합니다.

  • 디스크—Chronicle 전달자가 처리하는 데이터 양에 관계없이 100MB의 디스크 공간이면 충분합니다. Chronicle 전달자는 디스크 버퍼링을 사용하지 않습니다.

방화벽 구성 확인

전달자 컨테이너와 인터넷 사이에 방화벽 또는 인증된 프록시가 있으면 다음 Google Cloud 호스트에 대한 액세스 허용 규칙이 필요합니다.

연결 유형 대상 포트
TCP malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443

다음 단계를 사용하여 Google Cloud에 대한 네트워크 연결을 확인할 수 있습니다.

  1. 관리자 권한으로 Windows PowerShell을 시작합니다(Windows -> Windows PowerShell 마우스 오른쪽 단추 클릭 후 관리자로 실행 선택).

  2. 다음 명령어를 실행합니다. TcpTestSucceeded가 True를 반환합니다.

    C:\> test-netconnection <host> -port <port>

    예를 들면 다음과 같습니다.

    C:\> test-net connection malachiteingestion-pa.googleapis.com -port 443
    ComputerName     : malchiteingestion-pa.googleapis.com
    RemoteAddress    : 198.51.100.202
    RemotePort       : 443
    InterfaceAlias   : Ethernet
    SourceAddress    : 10.168.0.2
    TcpTestSucceeded : True</font>
    

또한 전달자를 사용하여 네트워크 연결을 확인할 수 있습니다.

  1. 관리자 권한으로 명령 프롬프트를 시작합니다(Windows -> 명령 프롬프트 마우스 오른쪽 단추 클릭 후 관리자로 실행 선택).
  2. 네트워크 연결을 확인하기 위해 -test 옵션을 사용하여 전달자를 실행합니다.

    C:\> .\chronicle_forwarder.exe -test
    Verify network connection succeeded!
    

Windows에 전달자 설치

Windows에서는 전달자 실행 파일을 서비스로 설치해야 합니다.

  1. chronicle_forwarder.exe 파일 및 구성 파일을 작업 디렉터리에 복사합니다.

  2. 관리자 권한으로 명령 프롬프트를 시작합니다(Windows -> 명령 프롬프트 마우스 오른쪽 단추 클릭 후 관리자로 실행 선택).

  3. 서비스를 설치하기 위해 1단계에서 만든 작업 디렉터리로 이동하고 다음 명령어를 실행합니다.

    C:\> .\chronicle_forwarder.exe -install -config <configFileProvidedToYou>
    
    The service is installed to C:\Windows\system32\ChronicleForwarder
    
  4. 서비스를 시작하려면 다음 명령어를 실행합니다.

    C:\> sc start chronicle_forwarder

전달자가 실행 중인지 확인

전달자의 네트워크 연결을 포트 443으로 열고 Chronicle 웹 인터페이스에서 몇 분 내에 데이터를 표시해야 합니다.

다음 방법을 사용하여 전달자가 실행 중인지 확인할 수 있습니다.

  • 작업 관리자—프로세스 탭으로 이동합니다. 백그라운드 프로세스 아래에 chronicle_forwarder가 표시됩니다.

  • 리소스 모니터—네트워크 탭에서 chronicle_forwarder.exe 애플리케이션이 네트워크 활동 아래(chronicle_forwarder.exe 애플리케이션이 Google Cloud에 연결될 때마다), TCP 연결 아래, 수신 포트에 표시됩니다.

  • Chronicle 전달자 로그 파일—C:\Windows\Temp 폴더로 이동합니다. Chronicle 전달자 로그 파일이 여기에 저장됩니다. 로그 파일은 모두 chronicle_forwarder.exe.win-forwarder로 시작합니다. 텍스트 편집기에서 최신 로그 파일을 엽니다. Chronicle 전달자가 시작된 시간 및 Google Cloud로 데이터 전송을 시작한 시간을 포함하여 다양한 정보를 제공합니다.

전달자 제거

전달자 서비스를 제거하려면 다음 단계를 완료합니다.

  1. 관리자 모드에서 명령 프롬프트를 엽니다.

  2. Chronicle 전달자 서비스를 중지합니다.

    C:\> sc stop chronicle_forwarder
    SERVICE_NAME: chronicle_forwarder
    TYPE               : 10  WIN32_OWN_PROCESS
    STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0
    
  3. C:\Windows\system32\ChronicleForwarder 디렉터리로 이동하고 Chronicle 전달자 서비스를 제거합니다. C:\> .\chronicle_forwarder.exe -uninstall

전달자 업그레이드

현재 구성 파일을 계속 사용하면서 전달자를 업그레이드하려면 다음 단계를 완료합니다.

  1. 관리자 모드에서 명령 프롬프트를 엽니다.

  2. 구성 파일을 C:\Windows\system32\ChronicleForwarder에서 다른 디렉터리에 복사합니다.

  3. Chronicle 전달자를 중지합니다.

    C:\> sc stop chronicle_forwarder

  4. Chronicle 전달자 서비스 및 애플리케이션을 제거합니다.

    C:\> .\chronicle_forwarder.exe --uninstall

  5. C:\windows\system32\ChronicleForwarder 디렉터리의 모든 파일을 삭제합니다.

  6. 새 chronicle_forwarder.exe 애플리케이션 및 원본 구성 파일을 작업 디렉터리에 복사합니다.

  7. 작업 디렉터리에서 다음 명령어를 실행합니다.

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

  8. 서비스를 시작합니다.

    C:\ sc start chronicle_forwarder

Splunk 데이터 수집

Chronicle 지원팀에 문의하여 Splunk 데이터를 Google Cloud에 전달하도록 Chronicle 전달자 구성 파일을 업데이트하세요.

syslog 데이터 수집

Chronicle 전달자는 Syslog 서버로 작동할 수 있습니다. 즉, TCP 또는 UDP 연결을 통해 syslog 데이터를 전송하도록 지원하는 모든 어플라이언스 또는 서버를 Chronicle 전달자에 데이터를 전달하도록 구성할 수 있습니다. 어플라이언스 또는 서버가 Chronicle 전달자에 전송하고, 전달자는 Google Cloud로 전달할 수 있는 데이터를 정확하게 제어할 수 있습니다.

Chronicle 전달자 구성 파일은 각 유형의 전달된 데이터를 모니터링할 포트를 지정합니다(예: 포트 10514). 기본적으로 Chronicle 전달자는 TCP 및 UDP 연결을 모두 허용합니다. Chronicle 지원팀에 문의하여 syslog를 지원하도록 Chronicle 전달자 구성 파일을 업데이트합니다.

데이터 압축 전환

로그 압축은 로그를 Chronicle로 전송할 때 네트워크 대역폭 소비를 줄여줍니다. 하지만 압축은 CPU 사용을 늘립니다. CPU 사용과 대역폭 사이의 적정 지점은 로그 데이터 유형, 데이터의 압축 가능성, 전달자를 실행하는 호스트에서 CPU 주기 가용성, 네트워크 대역폭 소비 감소 요구와 같은 여러 요인들에 따라 달라집니다.

예를 들어 텍스트 기반 로그는 압축이 잘 되고, 적은 CPU 사용으로도 대역폭을 크게 절약할 수 있습니다. 하지만 원시 패킷의 암호화된 페이로드는 압축이 잘 되지 않고 CPU 사용이 늘어납니다.

전달자에서 수집되는 로그 유형 대부분이 압축 효율이 높으므로, 대역폭 소비를 줄이기 위해 기본적으로 로그 압축이 사용 설정되어 있습니다. 하지만 CPU 사용 증가가 대역폭 절약의 이점보다 커지면 다음 예시에 표시된 것처럼 Chronicle 전달자 구성 파일에서 compression 필드를 false로 설정하여 압축을 사용 중지할 수 있습니다.

  output:
  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

syslog 구성에 TLS 사용 설정

Chronicle 전달자에 대한 Syslog 연결에 전송 계층 보안(TLS)을 사용 설정할 수 있습니다. Chronicle 전달자 구성 파일에서 다음 예시에 표시된 것처럼 인증서 및 인증서 키의 위치를 지정합니다.

certificate "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
certificate_key "/opt/chronicle/external/certs/forwarder.key"

표시된 예시에 따라 Chronicle 전달자 구성이 다음과 같이 수정됩니다.

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "/opt/chronicle/external/certs/forwarder.key"

구성 디렉터리 아래에 certs 디렉터리를 만들고 여기에 인증서 파일을 저장할 수 있습니다.

패킷 데이터 수집

Chronicle 전달자는 Windows 시스템에서 WinPcap 또는 Npcap을 사용하여 네트워크 인터페이스에서 직접 패킷을 캡처할 수 있습니다. 패킷이 캡처되고 로그 항목 대신 Google Cloud로 전송됩니다. 캡처는 로컬 인터페이스에서만 수행됩니다.

Chronicle 지원팀에 문의하여 패킷 캡처를 지원하도록 Chronicle 전달자 구성 파일을 업데이트합니다.

패킷 캡처(PCAP) 전달자를 실행하려면 다음이 필요합니다.

  • Microsoft Windows 호스트의 경우 조직 요구사항에 따라 WinPcap 또는 Npcap을 설치합니다.

  • Chronicle 전달자에는 네트워크 인터페이스를 모니터링하기 위해 루트 또는 관리자 권한이 필요합니다.

  • 명령줄 옵션은 필요하지 않습니다.

  • Npcap 설치의 경우 WinPcap 호환성 모드를 사용 설정합니다.

PCAP 전달자를 구성하려면 Google Cloud에서 패킷 캡처에 사용되는 인터페이스에 대해 GUID가 필요합니다. Chronicle 전달자를 설치할 머신(서버 또는 스팬 포트로 리슨하는 머신)에서 getmac.exe를 실행하고 출력을 Chronicle로 전송합니다.

또는 구성 파일을 수정할 수 있습니다. PCAP 섹션을 찾고 인터페이스 옆에 표시된 GUID 값을 getmac.exe를 실행하여 표시된 GUID로 바꿉니다.

예를 들어 원본 PCAP 섹션은 다음과 같습니다.

- pcap:
 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

getmac.exe 실행 출력은 다음과 같습니다.

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

마지막으로 새 GUID가 포함된 수정된 PCAP 섹션은 다음과 같습니다.

  - pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53