Ausführbare Datei des Google SecOps-Forwarders für Windows

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie den Google SecOps-Weiterleiter unter Microsoft Windows installieren und konfigurieren.

Konfigurationsdateien anpassen

Anhand der Informationen, die Sie vor der Bereitstellung eingereicht haben, stellt Google Cloudeine ausführbare Datei und eine optionale Konfigurationsdatei für den Google SecOps-Weiterleiter bereit. Die ausführbare Datei sollte nur auf dem Host ausgeführt werden, für den sie konfiguriert wurde. Jede ausführbare Datei enthält eine Konfiguration, die für die Google SecOps-Weiterleitungsinstanz in Ihrem Netzwerk spezifisch ist. Wenn Sie die Konfiguration ändern möchten, wenden Sie sich an den Google SecOps-Support.

Systemanforderungen

Im Folgenden finden Sie allgemeine Empfehlungen. Wenn Sie Empfehlungen speziell für Ihr System benötigen, wenden Sie sich an den Google SecOps-Support.

  • Windows Server-Version: Der Google SecOps-Weiterleiter wird von den folgenden Versionen von Microsoft Windows Server unterstützt:

    • 2008 R2

    • 2012 R2

    • 2016

  • RAM: 1,5 GB für jeden erfassten Datentyp. Beispielsweise sind Endpoint Detection and Response (EDR), DNS und DHCP separate Datentypen. Sie benötigen 4,5 GB RAM, um Daten für alle drei zu erfassen.

  • CPU: 2 CPUs reichen für weniger als 10.000 Ereignisse pro Sekunde (EPS) (insgesamt für alle Datentypen). Wenn Sie mehr als 10.000 EPS weiterleiten möchten, sind 4 bis 6 CPUs erforderlich.

  • Laufwerk: Es sind 20 GB Speicherplatz erforderlich, unabhängig davon, wie viele Daten der Google SecOps-Weiterleiter verarbeitet. Der Google SecOps-Weiterleiter puffert standardmäßig nicht auf dem Laufwerk. Es wird jedoch empfohlen, die Laufwerkpufferung zu aktivieren. Sie können das Laufwerk puffern, indem Sie der Konfigurationsdatei die Parameter write_to_disk_buffer_enabled und write_to_disk_dir_path hinzufügen.

    Beispiel:

    - <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...

Google-IP-Adressbereiche

Möglicherweise müssen Sie den IP-Adressbereich öffnen, wenn Sie eine Google SecOps-Weiterleitungskonfiguration einrichten, z. B. die Konfiguration für Ihre Firewall. Google kann keine bestimmte Liste von IP-Adressen bereitstellen. Sie können jedoch IP-Adressbereiche von Google abrufen.

Firewallkonfiguration prüfen

Wenn sich zwischen dem Google SecOps-Weiterleitungscontainer und dem Internet Firewalls oder authentifizierte Proxys befinden, sind Regeln erforderlich, um den Zugriff auf die folgenden Google Cloud Hosts zu ermöglichen:

Verbindungstyp Ziel Port
TCP malachiteingestion-pa.googleapis.com 443
TCP asia-northeast1-malachiteingestion-pa.googleapis.com 443
TCP asia-south1-malachiteingestion-pa.googleapis.com 443
TCP asia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP australia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP europe-malachiteingestion-pa.googleapis.com 443
TCP europe-west2-malachiteingestion-pa.googleapis.com 443
TCP europe-west3-malachiteingestion-pa.googleapis.com 443
TCP europe-west6-malachiteingestion-pa.googleapis.com 443
TCP europe-west9-malachiteingestion-pa.googleapis.com 443
TCP europe-west12-malachiteingestion-pa.googleapis.com 443
TCP me-central1-malachiteingestion-pa.googleapis.com 443
TCP me-central2-malachiteingestion-pa.googleapis.com 443
TCP me-west1-malachiteingestion-pa.googleapis.com 443
TCP northamerica-northeast2-malachiteingestion-pa.googleapis.com 443
TCP southamerica-east1-malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443
TCP gcr.io 443
TCP cloud.google.com/artifact-registry 443
TCP oauth2.googleapis.com 443
TCP storage.googleapis.com 443

So kannst du die Netzwerkverbindung zu Google Cloud prüfen:

  1. Starten Sie Windows PowerShell mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie PowerShell ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell und dann auf Als Administrator ausführen.

  2. Führen Sie den folgenden Befehl aus: TcpTestSucceeded sollte „wahr“ zurückgeben.

    C:\> test-netconnection <host> -port <port>

    Beispiel:

    C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Sie können auch den Google SecOps-Weiterleiter verwenden, um die Netzwerkverbindung zu prüfen:

  1. Öffnen Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.

  2. Führen Sie den Google SecOps-Weiterleiter mit der Option -test aus, um die Netzwerkverbindung zu prüfen.

    C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!

Google SecOps-Weiterleitung unter Windows installieren

Unter Windows muss die ausführbare Datei des Google SecOps-Weiterleitungsprogramms als Dienst installiert werden.

  1. Kopieren Sie die Datei chronicle_forwarder.exe und die Konfigurationsdatei in ein Arbeitsverzeichnis.

  2. Öffnen Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.

  3. Rufen Sie zum Installieren des Dienstes das Arbeitsverzeichnis auf, das Sie in Schritt 1 erstellt haben, und führen Sie den folgenden Befehl aus:

    C:\> .\chronicle_forwarder.exe -install -config FILE_NAME

    Ersetzen Sie FILE_NAME durch den Namen der bereitgestellten Konfigurationsdatei.

    Der Dienst ist unter C:\Windows\system32\ChronicleForwarder installiert.

  4. Führen Sie den folgenden Befehl aus, um den Dienst zu starten:

    C:\> sc.exe start chronicle_forwarder

Prüfen, ob der Google SecOps-Weiterleiter ausgeführt wird

Der Google SecOps-Weiterleiter sollte eine Netzwerkverbindung an Port 443 geöffnet haben und Ihre Daten sollten innerhalb weniger Minuten in der Google SecOps-Weboberfläche angezeigt werden.

Sie haben folgende Möglichkeiten, um zu prüfen, ob der Google SecOps-Weiterleiter ausgeführt wird:

  • Task-Manager: Rufen Sie den Tab Prozesse > Hintergrundprozesse > chronicle_forwarder auf.

  • Ressourcenmonitor: Auf dem Tab Netzwerk sollte die chronicle_forwarder.exe-Anwendung unter Netzwerkaktivität (immer wenn die chronicle_forwarder.exe-Anwendung eine Verbindung zu Google Cloudherstellt), unter „TCP-Verbindungen“ und unter „Warteschlangenports“ aufgeführt sein.

Logs für Weiterleitungen ansehen

Die Logdateien des Google SecOps-Weiterleiters werden im Ordner C:\Windows\Temp gespeichert. Die Logdateien beginnen mit chronicle_forwarder.exe.win-forwarder. Die Protokolldateien enthalten eine Vielzahl von Informationen, z. B. wann der Weiterleiter gestartet wurde und wann er mit dem Senden von Daten an Google Cloudbegonnen hat.

Google SecOps-Weiterleitung deinstallieren

So deinstallieren Sie den Google SecOps-Weiterleitungsdienst:

  1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

  2. Beenden Sie den Google SecOps-Weiterleitungsdienst:

    SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

  3. Rufen Sie das Verzeichnis C:\Windows\system32\ChronicleForwarder auf und deinstallieren Sie den Google SecOps-Weiterleitungsdienst: C:\> .\chronicle_forwarder.exe -uninstall

Google SecOps-Weiterleiter aktualisieren

Wenn Sie den Google SecOps-Weiterleiter aktualisieren und gleichzeitig Ihre aktuelle Konfigurationsdatei verwenden möchten, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

  2. Kopieren Sie die Konfigurationsdatei aus dem Verzeichnis C:\Windows\system32\ChronicleForwarder in ein anderes Verzeichnis.

  3. Beenden Sie den Google SecOps-Weiterleiter:

    C:\> sc.exe stop chronicle_forwarder

  4. Deinstallieren Sie den Google SecOps-Weiterleitungsdienst und die Anwendung:

    C:\> .\chronicle_forwarder.exe --uninstall

  5. Löschen Sie alle Dateien im Verzeichnis C:\windows\system32\ChronicleForwarder.

  6. Kopieren Sie die neue chronicle_forwarder.exe-Anwendung und die ursprüngliche Konfigurationsdatei in ein Arbeitsverzeichnis.

  7. Führen Sie im Arbeitsverzeichnis den folgenden Befehl aus:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

  8. Dienst starten:

    C:\ sc.exe start chronicle_forwarder

Splunk-Daten erheben

Wenden Sie sich an den Google SecOps-Support, um die Konfigurationsdatei des Google SecOps-Weiterleitungsservers so zu aktualisieren, dass Ihre Splunk-Daten an Google Cloudweitergeleitet werden.

Syslog-Daten erfassen

Der Google SecOps-Weiterleiter kann als syslog-Server ausgeführt werden. Das bedeutet, dass Sie jede Appliance oder jeden Server, die bzw. der das Senden von syslog-Daten über eine TCP- oder UDP-Verbindung unterstützt, so konfigurieren können, dass die Daten an den Google SecOps-Weiterleiter weitergeleitet werden. Sie können genau festlegen, welche Daten die Appliance oder der Server an den Google SecOps-Weiterleiter sendet, der die Daten dann an Google Cloudweiterleiten kann.

In der Konfigurationsdatei des Google SecOps-Weiterleitungsprogramms wird angegeben, welche Ports für jede Art von weitergeleiteten Daten überwacht werden sollen (z. B. Port 10514). Standardmäßig akzeptiert der Google SecOps-Weiterleiter sowohl TCP- als auch UDP-Verbindungen. Wenden Sie sich an den Google SecOps-Support, um die Google SecOps-Weiterleitungskonfigurationsdatei für die Unterstützung von syslog zu aktualisieren.

Datenkomprimierung aktivieren/deaktivieren

Die Protokollkomprimierung reduziert die Netzwerkbandbreitennutzung beim Übertragen von Protokollen an Google SecOps. Die Komprimierung kann jedoch zu einer höheren CPU-Auslastung führen. Der Kompromiss zwischen CPU-Nutzung und Bandbreite hängt von vielen Faktoren ab, z. B. von der Art der Protokolldaten, der Komprimierbarkeit dieser Daten, der Verfügbarkeit von CPU-Zyklen auf dem Host, auf dem der Weiterleiter ausgeführt wird, und der Notwendigkeit, die Netzwerkbandbreitennutzung zu reduzieren.

Textbasierte Protokolle lassen sich beispielsweise gut komprimieren und können bei geringer CPU-Auslastung erhebliche Bandbreiteneinsparungen erzielen. Verschlüsselte Nutzlasten von Rohpaketen lassen sich jedoch nicht gut komprimieren und verursachen eine höhere CPU-Auslastung.

Da die meisten vom Forwarding-Agenten aufgenommenen Protokolltypen effizient komprimiert werden können, ist die Protokollkomprimierung standardmäßig aktiviert, um den Bandbreitenverbrauch zu reduzieren. Wenn die erhöhte CPU-Auslastung jedoch den Vorteil der Bandbreiteneinsparung überwiegt, können Sie die Komprimierung deaktivieren, indem Sie das Feld compression in der Konfigurationsdatei des Google SecOps-Weiterleiters auf false setzen, wie im folgenden Beispiel gezeigt:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

TLS für syslog-Konfigurationen aktivieren

Sie können Transport Layer Security (TLS) für die syslog-Verbindung zum Google SecOps-Weiterleiter aktivieren. Geben Sie in der Konfigurationsdatei des Google SecOps-Weiterleiters den Speicherort Ihres Zertifikats und Zertifikatsschlüssels an, wie im folgenden Beispiel gezeigt:

Zertifikat C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem
certificate_key C:/opt/chronicle/external/certs/forwarder.key

Basierend auf dem Beispiel würde die Konfiguration des Google SecOps-Weiterleitungsservers so geändert:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Sie können im Konfigurationsverzeichnis ein Verzeichnis „certs“ erstellen und die Zertifikatdateien dort speichern.

Paketdaten erfassen

Der Google SecOps-Weiterleiter kann Pakete direkt über eine Netzwerkschnittstelle mit Npcap auf Windows-Systemen erfassen.

Pakete werden erfasst und an Google Cloud gesendet, anstatt an Logeinträge. Die Erfassung erfolgt nur über eine lokale Benutzeroberfläche.

Wenden Sie sich an den Google SecOps-Support, um die Google SecOps-Weiterleitungskonfigurationsdatei für die Paketerfassung zu aktualisieren.

Zum Ausführen eines PCAP-Weiterleiters (Packet Capture) benötigen Sie Folgendes:

  • Installieren Sie Npcap auf dem Microsoft Windows-Host.

  • Gewähren Sie dem Google SecOps-Weiterleiter Root- oder Administratorberechtigungen, um die Netzwerkschnittstelle zu überwachen.

  • Es sind keine Befehlszeilenoptionen erforderlich.

  • Aktivieren Sie bei der Npcap-Installation den WinPcap-Kompatibilitätsmodus.

Zum Konfigurieren eines PCAP-Weiterleiters Google Cloud ist die GUID für die Schnittstelle erforderlich,die zum Erfassen von Paketen verwendet wird. Führen Sie getmac.exe auf dem Computer aus, auf dem Sie den Google SecOps-Weiterleiter installieren möchten (entweder auf dem Server oder auf dem Computer, der den Span-Port überwacht), und senden Sie die Ausgabe an Google SecOps.

Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den PCAP-Abschnitt und ersetzen Sie den GUID-Wert neben „interface“ durch die GUID, die durch Ausführen von getmac.exe angezeigt wird.

Hier ist beispielsweise ein ursprünglicher PCAP-Abschnitt:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Hier ist die Ausgabe des Befehls getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Und hier ist der überarbeitete PCAP-Abschnitt mit der neuen GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

WebProxy-Daten erheben

Der Google SecOps-Weiterleiter kann Webproxy-Daten direkt über eine Netzwerkschnittstelle mit Npcap erfassen und an Google Cloudsenden.

Wenn Sie die Webproxy-Datenerfassung für Ihr System aktivieren möchten, wenden Sie sich an den Google SecOps-Support.

Führen Sie die folgenden Schritte aus, bevor Sie einen WebProxy-Weiterleiter ausführen:

  1. Installieren Sie Npcap auf dem Microsoft Windows-Host. Aktivieren Sie während der Installation den WinPcap-Kompatibilitätsmodus.

  2. Gewähren Sie dem Google SecOps-Weiterleiter Root- oder Administratorberechtigungen, um die Netzwerkschnittstelle zu überwachen.

  3. Zum Konfigurieren eines WebProxy-Weiterleiters benötigt Google Cloud die GUID für die Schnittstelle,mit der die WebProxy-Pakete erfasst werden.

    Führen Sie getmac.exe auf dem Computer aus, auf dem Sie den Google SecOps-Weiterleiter installieren möchten, und senden Sie die Ausgabe an Google SecOps. Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den Abschnitt „WebProxy“ und ersetzen Sie die GUID neben der Schnittstelle durch die GUID, die nach dem Ausführen von getmac.exe angezeigt wird.

    Ändern Sie die Konfigurationsdatei des Google SecOps-Weiterleiters (FORWARDER_NAME.conf) so:

      - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten