Windows용 Chronicle 전달자 실행 파일

이 문서에서는 Microsoft Windows에서 Chronicle 전달자를 설치하고 구성하는 방법을 설명합니다.

구성 파일 맞춤설정

배포 전 제출한 정보에 따라 Google Cloud는 Chronicle 전달자에 대해 실행 파일 및 선택적인 구성 파일을 제공합니다. 실행 파일은 구성된 호스트에서만 실행해야 합니다. 각 실행 파일에는 네트워크의 Chronicle 전달자 인스턴스와 관련된 구성이 포함됩니다. 구성을 수정해야 하면 Chronicle 지원팀에 문의하세요.

시스템 요구사항

다음은 일반적인 권장사항입니다. 시스템별 권장사항은 Chronicle 지원팀에 문의하세요.

Windows Server 버전: Chronicle 전달자는 Microsoft Windows Server의 다음 버전에서 지원됩니다.
- 2008 R2
- 2012 R2
- 2016
RAM: 각 수집된 데이터 유형별로 1.5GB가 필요합니다. 예를 들어 엔드포인트 감지 및 응답(EDR), DNS, DHCP는 모두 개별 데이터 유형입니다. 세 가지 모두 데이터를 수집하려면 4.5GB RAM이 필요합니다.
CPU: 10,000보다 낮은 초당 이벤트(EPS) 수를 처리하려면 2개 CPU로 충분합니다(모든 데이터 유형 합계). 10,000 초과 EPS를 전달해야 하면 4~6개 CPU가 필요합니다.
디스크: Chronicle 전달자가 처리하는 데이터 양에 관계없이 디스크 공간 100MB이면 충분합니다. Chronicle 전달자는 기본적으로 디스크 버퍼링을 사용하지 않습니다. 구성 파일에 write_to_disk_buffer_enabled 및 write_to_disk_dir_path 매개변수를 추가하여 디스크를 버퍼링할 수 있습니다.

예를 들면 다음과 같습니다.
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

Google IP 주소 범위

방화벽 구성을 설정할 때와 같이 Chronicle 전달자 구성을 설정할 때 IP 주소 범위를 열어야 할 수 있습니다. Google에서는 특정 IP 주소 목록을 제공할 수 없습니다. 하지만 Google IP 주소 범위를 가져올 수 있습니다.

방화벽 구성 확인

Chronicle 전달자 컨테이너와 인터넷 사이에 방화벽 또는 인증된 프록시가 있으면 다음 Google Cloud 호스트에 대한 액세스 허용 규칙이 필요합니다.

연결 유형	대상	포트
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

다음 단계를 사용하여 Google Cloud에 대한 네트워크 연결을 확인할 수 있습니다.

관리자 권한으로 Windows PowerShell을 시작합니다(시작을 클릭하고 PowerShell을 입력한 다음 Windows PowerShell을 마우스 오른쪽 버튼으로 클릭하고 관리자로 실행을 클릭).

다음 명령어를 실행합니다. TcpTestSucceeded는 true를 반환해야 합니다.

C:\> test-netconnection <host> -port <port>

예를 들면 다음과 같습니다.

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

또한 Chronicle 전달자를 사용하여 네트워크 연결을 확인할 수 있습니다.

관리자 권한으로 명령 프롬프트를 시작합니다(시작을 클릭하고 Command Prompt를 입력하고 명령 프롬프트를 마우스 오른쪽 버튼으로 클릭한 다음 관리자 권한으로 실행을 클릭).
네트워크 연결을 확인하기 위해 -test 옵션으로 Chronicle 전달자를 실행합니다.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

Windows에 Chronicle 전달자 설치

Windows에서는 Chronicle 전달자 실행 파일을 서비스로 설치해야 합니다.

chronicle_forwarder.exe 파일 및 구성 파일을 작업 디렉터리에 복사합니다.
관리자 권한으로 명령 프롬프트를 시작합니다(시작을 클릭하고 Command Prompt를 입력하고 명령 프롬프트를 마우스 오른쪽 버튼으로 클릭한 다음 관리자 권한으로 실행을 클릭).
서비스를 설치하기 위해 1단계에서 만든 작업 디렉터리로 이동하고 다음 명령어를 실행합니다.
```
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
```
FILE_NAME을 제공된 구성 파일의 이름으로 바꿉니다.

서비스가 C:\Windows\system32\ChronicleForwarder에 설치됩니다.
서비스를 시작하려면 다음 명령어를 실행합니다.
```
C:\> sc.exe start chronicle_forwarder
```

Chronicle 전달자가 실행 중인지 확인

Chronicle 전달자의 네트워크 연결을 포트 443으로 열고 Chronicle 웹 인터페이스에서 몇 분 내에 데이터를 표시해야 합니다.

다음 방법을 사용하여 전달자가 실행 중인지 확인할 수 있습니다.

작업 관리자: 프로세스 탭 > 백그라운드 프로세스 > chronicle_forwarder로 이동합니다.
리소스 모니터: 네트워크 탭의 chronicle_forwarder.exe 애플리케이션이 네트워크 활동(chronicle_forwarder.exe 애플리케이션이 Google Cloud에 연결될 때마다) 아래, TCP 연결 아래, 수신 포트에 표시됩니다.

전달자 로그 보기

Chronicle 전달자 로그 파일은 C:\Windows\Temp 폴더에 저장됩니다. 로그 파일은 chronicle_forwarder.exe.win-forwarder로 시작합니다. 로그 파일은 전달자가 시작된 시간 및 Google Cloud로 데이터 전송을 시작한 시간을 포함하여 다양한 정보를 제공합니다.

Chronicle 전달자 제거

Chronicle 전달자 서비스를 제거하려면 다음 단계를 완료합니다.

관리자 모드에서 명령 프롬프트를 엽니다.

Chronicle 전달자 서비스를 중지합니다.

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

C:\Windows\system32\ChronicleForwarder 디렉터리로 이동하고 Chronicle 전달자 서비스를 제거합니다. C:\> .\chronicle_forwarder.exe -uninstall

Chronicle 전달자 업그레이드

현재 구성 파일을 계속 사용하면서 Chronicle 전달자를 업그레이드하려면 다음 단계를 완료합니다.

관리자 모드에서 명령 프롬프트를 엽니다.
구성 파일을 C:\Windows\system32\ChronicleForwarder 디렉터리에서 다른 디렉터리로 복사합니다.
Chronicle 전달자를 중지합니다.
```
C:\> sc.exe stop chronicle_forwarder
```
Chronicle 전달자 서비스 및 애플리케이션을 제거합니다.
```
C:\> .\chronicle_forwarder.exe --uninstall
```
C:\windows\system32\ChronicleForwarder 디렉터리의 모든 파일을 삭제합니다.
새 chronicle_forwarder.exe 애플리케이션과 원본 구성 파일을 작업 디렉터리에 복사합니다.

작업 디렉터리에서 다음 명령어를 실행합니다.

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

서비스를 시작합니다.
```
C:\ sc.exe start chronicle_forwarder
```

Splunk 데이터 수집

Chronicle 지원팀에 문의하여 Splunk 데이터를 Google Cloud에 전달하도록 Chronicle 전달자 구성 파일을 업데이트하세요.

syslog 데이터 수집

Chronicle 전달자는 syslog 서버로 작동할 수 있습니다. 즉, TCP 또는 UDP 연결을 통해 syslog 데이터를 전송하도록 지원하는 모든 어플라이언스 또는 서버를 Chronicle 전달자에 데이터를 전달하도록 구성할 수 있습니다. 어플라이언스 또는 서버가 Chronicle 전달자에 전송하고, 전달자는 Google Cloud로 전달할 수 있는 데이터를 정확하게 제어할 수 있습니다.

Chronicle 전달자 구성 파일은 각 유형의 전달된 데이터를 모니터링할 포트를 지정합니다(예: 포트 10514). 기본적으로 Chronicle 전달자는 TCP 및 UDP 연결을 모두 허용합니다. Chronicle 지원팀에 문의하여 syslog를 지원하도록 Chronicle 전달자 구성 파일을 업데이트합니다.

데이터 압축 전환

로그 압축은 로그를 Chronicle로 전송할 때 네트워크 대역폭 소비를 줄여줍니다. 하지만 압축은 CPU 사용을 늘립니다. CPU 사용과 대역폭 사이의 적정 지점은 로그 데이터 유형, 데이터의 압축 가능성, 전달자를 실행하는 호스트에서 CPU 주기 가용성, 네트워크 대역폭 소비 감소 요구와 같은 여러 요인들에 따라 달라집니다.

예를 들어 텍스트 기반 로그는 압축이 잘 되고, 적은 CPU 사용으로도 대역폭을 크게 절약할 수 있습니다. 하지만 원시 패킷의 암호화된 페이로드는 압축이 잘 되지 않고 CPU 사용이 늘어납니다.

전달자에서 수집되는 로그 유형 대부분이 압축 효율이 높으므로, 대역폭 소비를 줄이기 위해 기본적으로 로그 압축이 사용 설정되어 있습니다. 하지만 CPU 사용 증가가 대역폭 절약의 이점보다 커지면 다음 예시에 표시된 것처럼 Chronicle 전달자 구성 파일에서 compression 필드를 false로 설정하여 압축을 사용 중지할 수 있습니다.

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

syslog 구성에 TLS 사용 설정

Chronicle 전달자에 대한 syslog 연결에 전송 계층 보안(TLS)을 사용 설정할 수 있습니다. Chronicle 전달자 구성 파일에서 다음 예시에 표시된 것처럼 인증서 및 인증서 키의 위치를 지정합니다.

certificate	`C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
certificate_key	`C:/opt/chronicle/external/certs/forwarder.key`

표시된 예시에 따라 Chronicle 전달자 구성이 다음과 같이 수정됩니다.

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

구성 디렉터리 아래에 certs 디렉터리를 만들고 여기에 인증서 파일을 저장할 수 있습니다.

패킷 데이터 수집

Chronicle 전달자는 Windows 시스템에서 Npcap을 사용하여 네트워크 인터페이스에서 직접 패킷을 캡처할 수 있습니다.

패킷이 캡처되고 로그 항목 대신 Google Cloud로 전송됩니다. 캡처는 로컬 인터페이스에서만 수행됩니다.

Chronicle 지원팀에 문의하여 패킷 캡처를 지원하도록 Chronicle 전달자 구성 파일을 업데이트합니다.

패킷 캡처(PCAP) 전달자를 실행하려면 다음이 필요합니다.

Microsoft Windows 호스트에 Npcap을 설치합니다.
네트워크 인터페이스를 모니터링할 수 있는 Chronicle 전달자 루트 또는 관리자 권한을 부여합니다.
명령줄 옵션은 필요하지 않습니다.
Npcap 설치에서 WinPcap 호환성 모드를 사용 설정합니다.

PCAP 전달자를 구성하려면 Google Cloud에서 패킷 캡처에 사용되는 인터페이스에 대해 GUID가 필요합니다. Chronicle 전달자를 설치할 머신(서버 또는 스팬 포트로 리슨하는 머신)에서 getmac.exe를 실행하고 출력을 Chronicle로 전송합니다.

또는 구성 파일을 수정할 수 있습니다. PCAP 섹션을 찾고 인터페이스 옆에 표시된 GUID 값을 getmac.exe를 실행하여 표시된 GUID로 바꿉니다.

예를 들어 원본 PCAP 섹션은 다음과 같습니다.

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

다음은 getmac.exe를 실행한 출력입니다.

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

마지막으로 새 GUID가 포함된 수정된 PCAP 섹션은 다음과 같습니다.

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

WebProxy 데이터 수집

Chronicle 전달자는 Npcap을 사용하여 네트워크 인터페이스에서 직접 WebProxy 데이터를 캡처하여 Google Cloud로 전송할 수 있습니다.

시스템에서 WebProxy 데이터 캡처를 사용 설정하려면 Chronicle 지원에 문의하세요.

WebProxy 전달자를 실행하기 전에 다음을 수행합니다.

Microsoft Windows 호스트에 Npcap을 설치합니다. 설치 중에 WinPcap 호환성 모드를 사용 설정합니다.
Chronicle 전달자에 루트 또는 관리자 권한을 부여하여 네트워크 인터페이스를 모니터링합니다.
WebProxy 전달자를 구성하려면 Google Cloud에서 WebProxy 패킷을 캡처하는 데 사용되는 인터페이스에 대해 GUID가 필요합니다.

Chronicle 전달자를 설치할 머신에서 getmac.exe를 실행하고 출력을 Chronicle로 전송합니다. 또는 구성 파일을 수정할 수 있습니다. WebProxy 섹션을 찾고 getmac.exe를 실행한 후 인터페이스 옆에 표시된 GUID를 표시된 GUID로 바꿉니다.

Chronicle 전달자 구성(FORWARDER_NAME.conf) 파일을 다음과 같이 수정합니다.
```
  - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80
```