Executável do encaminhador do Google Security Operations para Windows

Compatível com:

Este documento descreve como instalar e configurar o forwarder de operações de segurança do Google no Microsoft Windows.

Personalizar os arquivos de configuração

Com base nas informações enviadas antes da implantação,o Google Cloud fornece um arquivo executável e um arquivo de configuração opcional para o encaminhador do Google Security Operations. O arquivo executável só pode ser executado no host para o qual foi configurado. Cada arquivo executável inclui uma configuração específica para a instância de encaminhamento das operações de segurança do Google na sua rede. Se você precisar alterar a configuração, entre em contato com o Suporte do Google Security Operations.

Requisitos do sistema

Confira a seguir as recomendações gerais. Para recomendações específicas do seu sistema, entre em contato com o suporte do Google Security Operations.

  • Versão do Windows Server: o forwarder de operações de segurança do Google é compatível com as seguintes versões do Microsoft Windows Server:

    • 2008 R2

    • 2012 R2

    • 2016

  • RAM: 1,5 GB para cada tipo de dados coletado. Por exemplo, a detecção e resposta de endpoints (EDR, na sigla em inglês), o DNS e o DHCP são tipos de dados separados. Você precisa de 4,5 GB de RAM para coletar dados para os três.

  • CPU: 2 CPUs são suficientes para processar menos de 10.000 eventos por segundo (EPS) (total para todos os tipos de dados). Se você espera encaminhar mais de 10.000 EPS, são necessárias de 4 a 6 CPUs.

  • Disco: são necessários 20 GB de espaço em disco, independentemente da quantidade de dados processados pelo encaminhador do Google Security Operations. O forwarder de operações de segurança do Google não armazena em buffer no disco por padrão, mas é recomendável ativar o armazenamento em buffer no disco. É possível armazenar o disco em buffer adicionando os parâmetros write_to_disk_buffer_enabled e write_to_disk_dir_path no arquivo de configuração.

    Exemplo:

    - <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...

Intervalos de endereços IP do Google

Talvez seja necessário abrir o intervalo de endereços IP ao configurar um encaminhador do Google Security Operations, como ao configurar o firewall. Não é possível fornecer uma lista específica de endereços IP. No entanto, é possível acessar intervalos de endereços IP do Google.

Verificar a configuração do firewall

Se você tiver firewalls ou proxies autenticados entre o contêiner de encaminhamento das operações de segurança do Google e a Internet, eles vão exigir regras para permitir o acesso aos seguintes hosts Google Cloud :

Tipo de conexão Destino Port
TCP malachiteingestion-pa.googleapis.com 443
TCP asia-northeast1-malachiteingestion-pa.googleapis.com 443
TCP asia-south1-malachiteingestion-pa.googleapis.com 443
TCP asia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP australia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP europe-malachiteingestion-pa.googleapis.com 443
TCP europe-west2-malachiteingestion-pa.googleapis.com 443
TCP europe-west3-malachiteingestion-pa.googleapis.com 443
TCP europe-west6-malachiteingestion-pa.googleapis.com 443
TCP europe-west9-malachiteingestion-pa.googleapis.com 443
TCP europe-west12-malachiteingestion-pa.googleapis.com 443
TCP me-central1-malachiteingestion-pa.googleapis.com 443
TCP me-central2-malachiteingestion-pa.googleapis.com 443
TCP me-west1-malachiteingestion-pa.googleapis.com 443
TCP northamerica-northeast2-malachiteingestion-pa.googleapis.com 443
TCP southamerica-east1-malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443
TCP gcr.io 443
TCP cloud.google.com/artifact-registry 443
TCP oauth2.googleapis.com 443
TCP storage.googleapis.com 443

É possível verificar a conectividade de rede para Google Cloud seguindo estas etapas:

  1. Inicie o Windows PowerShell com privilégios de administrador. Para isso, clique em Iniciar, digite PowerShell, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como administrador.

  2. Execute o comando a seguir. TcpTestSucceeded precisa retornar verdadeiro.

    C:\> test-netconnection <host> -port <port>

    Exemplo:

    C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Você também pode usar o encaminhador do Google Security Operations para verificar a conectividade da rede:

  1. Inicie o prompt de comando com privilégios de administrador. Para isso, clique em Iniciar, digite Command Prompt, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador.

  2. Para verificar a conectividade da rede, execute o encaminhador do Google Security Operations com a opção -test.

    C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!

Instalar o encaminhador das Operações de segurança do Google no Windows

No Windows, o executável do forwarder das Operações de segurança do Google precisa ser instalado como um serviço.

  1. Copie o arquivo chronicle_forwarder.exe e o arquivo de configuração para um diretório de trabalho.

  2. Inicie o prompt de comando com privilégios de administrador. Para isso, clique em Iniciar, digite Command Prompt, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador.

  3. Para instalar o serviço, navegue até o diretório de trabalho criado na etapa 1 e execute o seguinte comando:

    C:\> .\chronicle_forwarder.exe -install -config FILE_NAME

    Substitua FILE_NAME pelo nome do arquivo de configuração fornecido.

    O serviço está instalado em C:\Windows\system32\ChronicleForwarder.

  4. Para iniciar o serviço, execute o seguinte comando:

    C:\> sc.exe start chronicle_forwarder

Verificar se o encaminhador do Google Security Operations está em execução

O encaminhador do Google Security Operations precisa ter uma conexão de rede aberta na porta 443, e seus dados precisam aparecer na interface da Web do Google Security Operations em poucos minutos.

É possível verificar se o encaminhador de operações de segurança do Google está em execução usando um dos seguintes métodos:

  • Gerenciador de tarefas: acesse a guia Processos > Processos em segundo plano > chronicle_forwarder.

  • Monitor de recursos: na guia Rede, o aplicativo chronicle_forwarder.exe deve ser listado em Atividade de rede (sempre que o aplicativo chronicle_forwarder.exe se conectar ao Google Cloud), em Conexões TCP e em Portas de escuta.

Conferir registros do encaminhador

Os arquivos de registro do encaminhador do Google Security Operations são armazenados na pasta C:\Windows\Temp. Os arquivos de registro começam com chronicle_forwarder.exe.win-forwarder. Os arquivos de registro fornecem várias informações, incluindo quando o encaminhador foi iniciado e quando ele começou a enviar dados para Google Cloud.

Desinstalar o encaminhador do Google Security Operations

Para desinstalar o serviço de encaminhamento de operações de segurança do Google, siga estas etapas:

  1. Abra o prompt de comando no modo de administrador.

  2. Interrompa o serviço de encaminhamento do Google Security Operations:

    SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

  3. Navegue até o diretório C:\Windows\system32\ChronicleForwarder e desinstale o serviço de encaminhamento do Google Security Operations: C:\> .\chronicle_forwarder.exe -uninstall

Fazer upgrade do forwarder do Google Security Operations

Para fazer upgrade do forwarder de operações de segurança do Google e continuar usando seu arquivo de configuração atual, siga estas etapas:

  1. Abra o prompt de comando no modo de administrador.

  2. Copie o arquivo de configuração do diretório C:\Windows\system32\ChronicleForwarder para outro.

  3. Interromper o encaminhador do Google Security Operations:

    C:\> sc.exe stop chronicle_forwarder

  4. Desinstale o serviço e o aplicativo de encaminhamento do Google Security Operations:

    C:\> .\chronicle_forwarder.exe --uninstall

  5. Exclua todos os arquivos no diretório C:\windows\system32\ChronicleForwarder.

  6. Copie o novo aplicativo chronicle_forwarder.exe e o arquivo de configuração original para um diretório de trabalho.

  7. No diretório de trabalho, execute o seguinte comando:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

  8. Inicie o serviço:

    C:\ sc.exe start chronicle_forwarder

Coletar dados do Splunk

Entre em contato com o suporte do Google Security Operations para atualizar o arquivo de configuração do forwarder do Google Security Operations e encaminhar os dados do Splunk para Google Cloud.

Coletar dados do Syslog

O encaminhador de operações de segurança do Google pode operar como um servidor syslog. Isso significa que você pode configurar qualquer dispositivo ou servidor compatível com o envio de dados syslog por uma conexão TCP ou UDP para encaminhar os dados ao encaminhador de operações de segurança do Google. Você pode controlar exatamente quais dados o dispositivo ou servidor envia ao encaminhador do Google Security Operations, que pode encaminhar os dados para Google Cloud.

O arquivo de configuração do forwarder do Google Security Operations especifica quais portas monitorar para cada tipo de dados encaminhados (por exemplo, a porta 10514). Por padrão, o encaminhador das Operações de segurança do Google aceita conexões TCP e UDP. Entre em contato com o suporte do Google Security Operations para atualizar o arquivo de configuração do encaminhador do Google Security Operations e oferecer suporte ao syslog.

Alternar a compactação de dados

A compactação de registros reduz o consumo de largura de banda da rede ao transferir registros para o Google Security Operations. No entanto, a compactação pode aumentar o uso da CPU. A compensação entre o uso da CPU e a largura de banda depende de muitos fatores, incluindo o tipo de dados de registro, a compressibilidade desses dados, a disponibilidade de ciclos de CPU no host que executa o forwarder e a necessidade de reduzir o consumo de largura de banda da rede.

Por exemplo, os registros baseados em texto são bem compactados e podem economizar bastante largura de banda com baixo uso da CPU. No entanto, as cargas úteis criptografadas de pacotes brutos não são compactadas bem e geram um uso maior da CPU.

Como a maioria dos tipos de registro ingeridos pelo encaminhador são compactados de forma eficiente, a compactação de registros é ativada por padrão para reduzir o consumo de largura de banda. No entanto, se o aumento do uso da CPU for maior que o benefício da economia de largura de banda, você poderá desativar a compactação definindo o campo compression como false no arquivo de configuração do forwarder das operações de segurança do Google, conforme mostrado no exemplo a seguir:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Ativar o TLS para configurações do syslog

É possível ativar o Transport Layer Security (TLS) para a conexão do syslog com o encaminhador de Operações de segurança do Google. No arquivo de configuração do forwarder das operações de segurança do Google, especifique o local do certificado e da chave de certificado, conforme mostrado no exemplo abaixo:

certificado C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem
certificate_key C:/opt/chronicle/external/certs/forwarder.key

Com base no exemplo mostrado, a configuração do encaminhador do Google Security Operations seria modificada da seguinte maneira:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

É possível criar um diretório de certificados no diretório de configuração e armazenar os arquivos de certificado nele.

Coletar dados de pacotes

O encaminhador de operações de segurança do Google pode capturar pacotes diretamente de uma interface de rede usando o Npcap em sistemas Windows.

Os pacotes são capturados e enviados para Google Cloud em vez de entradas de registro. A captura é feita apenas em uma interface local.

Entre em contato com o suporte do Google Security Operations para atualizar o arquivo de configuração do forwarder do Google Security Operations e oferecer suporte à captura de pacotes.

Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:

  • Instale o Npcap no host do Microsoft Windows.

  • Conceda privilégios de administrador ou raiz ao forwarder do Google Security Operations para monitorar a interface de rede.

  • Nenhuma opção de linha de comando é necessária.

  • Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.

Para configurar um encaminhador de PCAP, Google Cloud precisa do GUID da interface usada para capturar pacotes. Execute getmac.exe na máquina em que você planeja instalar o encaminhador do Google Security Operations (o servidor ou a máquina que está escutando na porta de extensão) e envie a saída para o Google Security Operations.

Como alternativa, você pode modificar o arquivo de configuração. Localize a seção PCAP e substitua o valor do GUID mostrado ao lado da interface pelo GUID exibido ao executar o getmac.exe.

Por exemplo, esta é uma seção original de PCAP:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Esta é a saída da execução de getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Por fim, aqui está a seção PCAP revisada com o novo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Coletar dados do WebProxy

O encaminhador de operações de segurança do Google pode capturar dados do WebProxy diretamente de uma interface de rede usando o Npcap e enviá-los para Google Cloud.

Para ativar a captura de dados do WebProxy no seu sistema, entre em contato com o suporte do Google Security Operations.

Antes de executar um encaminhador do WebProxy, faça o seguinte:

  1. Instale o Npcap no host do Microsoft Windows. Ative o modo de compatibilidade do WinPcap durante a instalação.

  2. Conceda privilégios de raiz ou administrador ao forwarder do Google Security Operations para monitorar a interface de rede.

  3. Para configurar um encaminhador do WebProxy, Google Cloud precisa do GUID da interface usada para capturar os pacotes do WebProxy.

    Execute getmac.exe na máquina em que você quer instalar o encaminhador do Google Security Operations e envie a saída para o Google Security Operations. Como alternativa, você pode modificar o arquivo de configuração. Localize a seção "WebProxy" e substitua o GUID exibido ao lado da interface pelo GUID exibido após a execução de getmac.exe.

    Modifique o arquivo de configuração do forwarder do Google Security Operations (FORWARDER_NAME.conf) da seguinte maneira:

      - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.