Como instalar e configurar o encaminhador no Windows

Neste documento, descrevemos como instalar e configurar o encaminhador no Microsoft Windows.

Personalizar os arquivos de configuração

Com base nas informações enviadas antes da implantação, o Google Cloud fornece um arquivo executável e um arquivo de configuração opcional para o encaminhador. O arquivo executável só pode ser executado no host em que foi configurado. Cada arquivo executável inclui uma configuração específica para a instância do encaminhador na rede. Se você precisar alterar a configuração, entre em contato com o suporte do Chronicle.

Requisitos do sistema

Veja a seguir recomendações gerais. Para recomendações específicas para seu sistema, entre em contato com o suporte do Chronicle.

  • Versão do Windows Server: o encaminhador do Chronicle é compatível com as seguintes versões do Microsoft Windows Server:

    • 2008 R2
    • 2012 R2
    • 2016
  • RAM: 1,5 GB para cada tipo de dado coletado. Por exemplo, detecção e resposta de endpoints (EDR, na sigla em inglês), DNS e DHCP são tipos de dados separados. Você precisa de 4,5 GB de RAM para coletar dados para os três.

  • CPU: 2 CPUs são suficientes para processar menos de 10.000 eventos por segundo (EPS,na sigla em inglês) (total para todos os tipos de dados). Se você espera encaminhar mais de 10.000 EPS, são necessárias de quatro a seis CPUs.

  • Disco: 100 MB de espaço em disco é suficiente, independentemente da quantidade de dados processada pelo encaminhador do Chronicle. O encaminhador do Chronicle não armazena em buffer no disco.

Verificar a configuração do firewall

Se você tiver firewalls ou proxies autenticados entre o contêiner de encaminhamento e a Internet, eles exigirão regras para permitir o acesso aos hosts do Google Cloud a seguir:

Tipo de conexão Destino Porta
TCP malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com.br 443
TCP oauth2.googleapis.com/ 443

É possível verificar a conectividade de rede com o Google Cloud seguindo as etapas a seguir:

  1. Inicie o Windows PowerShell com privilégios de administrador (Windows -&gt). Clique com o botão direito do mouse no Windows PowerShell e selecione "Executar como administrador".

  2. Execute o comando a seguir. TcpTestSucceeded deve retornar como "True".

    C:\> test-netconnection <host> -port <port>

    Por exemplo:

    C:\> test-net connection malachiteingestion-pa.googleapis.com -port 443
    ComputerName     : malchiteingestion-pa.googleapis.com
    RemoteAddress    : 198.51.100.202
    RemotePort       : 443
    InterfaceAlias   : Ethernet
    SourceAddress    : 10.168.0.2
    TcpTestSucceeded : True</font>
    

Também é possível usar o encaminhador para verificar a conectividade da rede:

  1. Inicie o prompt de comando com privilégios de administrador (Windows -&gt). Clique com o botão direito do mouse em "Prompt de comando" e selecione "Executar como administrador".
  2. Para verificar a conectividade da rede, execute o encaminhador com a opção -test.

    C:\> .\chronicle_forwarder.exe -test
    Verify network connection succeeded!
    

Instalar o encaminhador no Windows

No Windows, o executável de encaminhamento precisa ser instalado como um serviço.

  1. Copie o arquivo chronicle_forwarder.exe e o arquivo de configuração para um diretório de trabalho.

  2. Inicie o prompt de comando com privilégios de administrador (Windows -&gt). Clique com o botão direito do mouse em "Prompt de comando" e selecione "Executar como administrador".

  3. Para instalar o serviço, navegue até o diretório de trabalho criado na etapa 1 e execute o seguinte comando:

    C:\> .\chronicle_forwarder.exe -install -config <configFileProvidedToYou>
    
    The service is installed to C:\Windows\system32\ChronicleForwarder
    
  4. Para iniciar o serviço, execute o seguinte comando:

    C:\> sc.exe start chronicle_forwarder

Verificar se o encaminhador está em execução

O encaminhador terá uma conexão de rede aberta na porta 443, e seus dados aparecerão na interface da Web do Chronicle em alguns minutos.

É possível verificar se o encaminhador está em execução usando um dos seguintes métodos:

  • Gerenciador de tarefas: acesse a guia "Processos". Em "Processos em segundo plano", chronicle_forwarder precisa ser listado.

  • Monitor de recursos: na guia "Rede", o aplicativo chronicle_forwarder.exe precisa estar listado em "Atividade da rede" (sempre que o aplicativo chronicle_forwarder.exe se conectar ao Google Cloud), em "Conexões TCP" e em "Portas de detecção".

  • Arquivos de registro do encaminhador do Chronicle: navegue até a pasta C:\Windows\Temp. Os arquivos de registros do encaminhador Chronicle são armazenados aqui. Todos os arquivos de registro começam com chronicle_forwarder.exe.win-forwarder. Abra o arquivo de registro mais recente em um editor de texto. Ele fornece várias informações, incluindo quando o encaminhador Chronicle foi iniciado e quando começou a enviar dados para o Google Cloud.

Desinstalar o encaminhador

Para desinstalar o serviço de encaminhamento, conclua as seguintes etapas:

  1. Abra o prompt de comando no modo de administrador.

  2. Interrompa o serviço de encaminhamento do Chronicle:

    C:\> sc.exe stop chronicle_forwarder
    SERVICE_NAME: chronicle_forwarder
    TYPE               : 10  WIN32_OWN_PROCESS
    STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0
    
  3. Navegue até o diretório C:\Windows\system32\ChronicleForwarder e desinstale o serviço de encaminhamento do Chronicle: C:\> .\chronicle_forwarder.exe -uninstall

Fazer upgrade do encaminhador

Para fazer upgrade do encaminhador sem deixar de usar o arquivo de configuração atual, siga estas etapas:

  1. Abra o prompt de comando no modo de administrador.

  2. Copie o arquivo de configuração do diretório C:\Windows\system32\ChronicleForwarder para outro diretório.

  3. Pare o encaminhador do Chronicle:

    C:\> sc.exe stop chronicle_forwarder

  4. Desinstale o serviço e o aplicativo de encaminhamento do Chronicle:

    C:\> .\chronicle_forwarder.exe --uninstall

  5. Exclua todos os arquivos no diretório C:\windows\system32\ChronicleForwarder.

  6. Copie o novo aplicativo chronicle_forwarder.exe e o arquivo de configuração original para um diretório de trabalho.

  7. No diretório de trabalho, emita o seguinte comando:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

  8. Inicie o serviço:

    C:\ sc.exe start chronicle_forwarder

Colete dados do Splunk

Entre em contato com o suporte do Chronicle para atualizar o arquivo de configuração do encaminhamento do Chronicle para o Google Cloud.

Coletar dados syslog

O encaminhador do Chronicle pode operar como um servidor Syslog, o que significa que você pode configurar qualquer dispositivo ou servidor compatível com o envio de dados syslog por uma conexão TCP ou UDP para encaminhar os seus dados para o encaminhador Chronicle. É possível controlar exatamente quais dados o dispositivo ou servidor envia ao encaminhador do Chronicle que pode encaminhar os dados para o Google Cloud.

O arquivo de configuração do encaminhador Chronicle especifica quais portas precisam ser monitoradas para cada tipo de dado encaminhado (por exemplo, a porta 10514). Por padrão, o encaminhador Chronicle aceita conexões TCP e UDP. Entre em contato com o suporte do Chronicle para atualizar seu arquivo de configuração do encaminhador do Chronicle para que seja compatível com o syslog.

Alternar compactação de dados

A compactação de registros reduz o consumo de largura de banda da rede ao transferir registros para o Chronicle. No entanto, a compactação pode causar um aumento no uso da CPU. A compensação entre o uso da CPU e a largura de banda depende de muitos fatores, incluindo o tipo de dados de registro, a compactação desses dados, a disponibilidade dos ciclos de CPU no host que executa o encaminhador e a necessidade de reduzir o consumo da largura de banda da rede.

Por exemplo, os registros baseados em texto são bem compactados e podem reduzir significativamente a largura de banda com baixo uso da CPU. No entanto, payloads criptografados de pacotes brutos não são compactados corretamente e geram maior uso da CPU.

Como a maioria dos tipos de registro ingeridos pelo encaminhador é eficiente para compactação, a compactação de registro é ativada por padrão para reduzir o consumo da largura de banda. No entanto, se o aumento do uso da CPU superar o benefício da economia de largura de banda, desative a compactação definindo o campo compression como false no arquivo de configuração do encaminhador do Chronicle, conforme mostrado no exemplo a seguir:

  output:
  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Ativar configurações de TLS para syslog

É possível ativar o Transport Layer Security (TLS) para a conexão do Syslog com o encaminhador do Chronicle. No arquivo de configuração do encaminhador Chronicle, especifique o local do seu certificado e da sua chave de certificado, conforme mostrado no exemplo a seguir:

certificado "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
chave de certificado "/opt/chronicle/external/certs/forwarder.key"

Com base no exemplo mostrado, a configuração do encaminhador Chronicle seria modificada da seguinte maneira:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "/opt/chronicle/external/certs/forwarder.key"

É possível criar um diretório de certificados no diretório de configuração e armazenar os arquivos de certificado nele.

Coletar dados do pacote

O encaminhador do Chronicle pode capturar pacotes diretamente de uma interface de rede usando o WinPcap ou o Npcap em sistemas Windows. Os pacotes são capturados e enviados para o Google Cloud, em vez de entradas de registro. A captura é feita apenas de uma interface local.

Entre em contato com o suporte do Chronicle para atualizar o arquivo de configuração do encaminhador do Chronicle e permitir a captura de pacotes.

Para executar um encaminhador de captura de pacote (PCAP, na sigla em inglês), você precisa do seguinte:

  • Para hosts do Microsoft Windows, instale o WinPcap ou o Npcap, dependendo dos requisitos da sua organização.

  • O encaminhador Chronicle requer privilégios raiz ou de administrador para monitorar a interface de rede.

  • Não são necessárias opções de linha de comando.

  • Para instalações de Npcap, ative o modo de compatibilidade do WinPcap.

Para configurar um encaminhador de PCAP, o Google Cloud precisa do GUID da interface usada para capturar pacotes. Execute getmac.exe na máquina em que você planeja instalar o encaminhador Chronicle (o servidor ou a máquina que escuta na porta do período) e enviar a saída para o Chronicle.

Como alternativa, você pode modificar o arquivo de configuração. Localize a seção PCAP e substitua o valor do GUID mostrado ao lado da interface pelo GUID exibido na execução do getmac.exe.

Por exemplo, veja uma seção original do PCAP:

- pcap:
 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Este é o resultado da execução do getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Por fim, veja a seção da PCAP revisada com o novo GUID:

  - pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53