Ausführbare Datei des Google SecOps-Forwarders für Windows

In diesem Dokument wird beschrieben, wie Sie den Google SecOps-Forwarder unter Microsoft Windows installieren und konfigurieren.

Konfigurationsdateien anpassen

Basierend auf den Informationen, die Sie vor der Bereitstellung eingereicht haben, stellt Google CloudIhnen eine ausführbare Datei und eine optionale Konfigurationsdatei für den Google SecOps-Forwarder zur Verfügung. Die ausführbare Datei sollte nur auf dem Host ausgeführt werden, für den sie konfiguriert wurde. Jede ausführbare Datei enthält eine Konfiguration, die für die Google SecOps-Forwarder-Instanz in Ihrem Netzwerk spezifisch ist. Wenn Sie die Konfiguration ändern müssen, wenden Sie sich an den Support von Google SecOps.

Systemanforderungen

Im Folgenden finden Sie allgemeine Empfehlungen. Wenn Sie Empfehlungen speziell für Ihr System benötigen, wenden Sie sich an den Support von Google SecOps.

• Windows Server-Version: Der Google SecOps-Forwarder wird auf den folgenden Versionen von Microsoft Windows Server unterstützt:

  • 2008 R2

  • 2012 R2

  • 2016

• Arbeitsspeicher: 1,5 GB für jeden erhobenen Datentyp. Endpoint Detection and Response (EDR), DNS und DHCP sind beispielsweise separate Datentypen. Sie benötigen 4,5 GB RAM, um Daten für alle drei zu erfassen.

• CPU: 2 CPUs reichen für weniger als 10.000 Ereignisse pro Sekunde (EPS) (insgesamt für alle Datentypen) aus. Wenn Sie mehr als 10.000 Ereignisse pro Sekunde weiterleiten möchten, sind 4 bis 6 CPUs erforderlich.

• Festplatte: Unabhängig davon, wie viele Daten der Google SecOps-Forwarder verarbeitet, sind 20 GB Festplattenspeicher erforderlich. Der Google SecOps-Forwarder puffert standardmäßig nicht auf der Festplatte. Es wird jedoch empfohlen, die Festplattenpufferung zu aktivieren. Sie können den Datenträger puffern, indem Sie die Parameter write_to_disk_buffer_enabled und write_to_disk_dir_path in der Konfigurationsdatei hinzufügen.

  Beispiel:

  - <collector>:
       common:
           ...
           write_to_disk_buffer_enabled: true
           write_to_disk_dir_path: <var>your_path</var>
           ...
  

Google-IP-Adressbereiche

Sie benötigen den IP-Adressbereich möglicherweise, um ihn zu öffnen, wenn Sie eine Google SecOps-Weiterleitungskonfiguration einrichten, z. B. wenn Sie die Konfiguration für Ihre Firewall einrichten. Google kann keine bestimmte Liste mit IP-Adressen bereitstellen. Sie können jedoch IP-Adressbereiche von Google abrufen.

Firewallkonfiguration prüfen

Wenn sich zwischen dem Google SecOps-Forwarder-Container und dem Internet Firewalls oder authentifizierte Proxys befinden, sind Regeln erforderlich, um den Zugriff auf die folgenden Google Cloud Hosts zu ermöglichen:

So prüfen Sie die Netzwerkverbindung zu Google Cloud :

1. Starten Sie Windows PowerShell mit Administratorberechtigungen (klicken Sie auf Start, geben Sie PowerShell ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell und klicken Sie auf Als Administrator ausführen).

2. Führen Sie den folgenden Befehl aus: TcpTestSucceeded sollte „true“ zurückgeben.

   C:\> test-netconnection <host> -port <port>

   Beispiel:

   C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
   ComputerName     : malchiteingestion-pa.googleapis.com
   RemoteAddress    : 198.51.100.202
   RemotePort       : 443
   InterfaceAlias   : Ethernet
   SourceAddress    : 10.168.0.2
   TcpTestSucceeded : True
   

Sie können auch den Google SecOps-Forwarder verwenden, um die Netzwerkverbindung zu prüfen:

1. Starten Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.

2. Führen Sie den Google SecOps-Forwarder mit der Option -test aus, um die Netzwerkverbindung zu prüfen.

   C:\> .\chronicle_forwarder.exe -test
   Verify network connection succeeded!
   

Google SecOps-Forwarder unter Windows installieren

Unter Windows muss die ausführbare Datei des Google SecOps-Forwarders als Dienst installiert werden.

1. Kopieren Sie die Datei chronicle_forwarder.exe und die Konfigurationsdatei in ein Arbeitsverzeichnis.

2. Starten Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.

3. Rufen Sie das Arbeitsverzeichnis auf, das Sie in Schritt 1 erstellt haben, und führen Sie den folgenden Befehl aus, um den Dienst zu installieren:

   C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
   

   Ersetzen Sie FILE_NAME durch den Namen der Konfigurationsdatei, die Sie erhalten haben.

   Der Dienst wird in C:\Windows\system32\ChronicleForwarder installiert.

4. Führen Sie den folgenden Befehl aus, um den Dienst zu starten:

   C:\> sc.exe start chronicle_forwarder
   

Prüfen, ob der Google SecOps-Forwarder ausgeführt wird

Der Google SecOps-Forwarder sollte eine Netzwerkverbindung über Port 443 haben und Ihre Daten sollten innerhalb von Minuten in der Google SecOps-Weboberfläche angezeigt werden.

Sie haben folgende Möglichkeiten, um zu prüfen, ob der Google SecOps-Forwarder ausgeführt wird:

• Task-Manager: Rufen Sie den Tab Prozesse > Hintergrundprozesse > chronicle_forwarder auf.

• Ressourcenmonitor: Auf dem Tab Netzwerk sollte die Anwendung chronicle_forwarder.exe unter Netzwerkaktivität (immer wenn die Anwendung chronicle_forwarder.exe eine Verbindung zu Google Cloudherstellt), unter „TCP-Verbindungen“ und unter „Listening Ports“ aufgeführt sein.

Forwarder-Logs ansehen

Die Logdateien des Google SecOps-Forwarders werden im Ordner C:\Windows\Temp gespeichert. Die Logdateien beginnen mit chronicle_forwarder.exe.win-forwarder. Die Logdateien enthalten verschiedene Informationen, z. B. wann der Forwarder gestartet wurde und wann er mit dem Senden von Daten an Google Cloudbegann.

Google SecOps-Forwarder deinstallieren

So deinstallieren Sie den Google SecOps-Forwarder-Dienst:

1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

2. Beenden Sie den Google SecOps-Forwarder-Dienst:

   SERVICE_NAME: chronicle_forwarder
   TYPE               : 10  WIN32_OWN_PROCESS
   STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
   WIN32_EXIT_CODE    : 0  (0x0)
   SERVICE_EXIT_CODE  : 0  (0x0)
   CHECKPOINT         : 0x0
   WAIT_HINT          : 0x0
   

3. Rufen Sie das Verzeichnis C:\Windows\system32\ChronicleForwarder auf und deinstallieren Sie den Google SecOps-Forwarder-Dienst: C:\> .\chronicle_forwarder.exe -uninstall

Google SecOps-Forwarder upgraden

Wenn Sie den Google SecOps-Forwarder aktualisieren und dabei Ihre aktuelle Konfigurationsdatei weiterhin verwenden möchten, führen Sie die folgenden Schritte aus:

1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

2. Kopieren Sie Ihre Konfigurationsdatei aus dem Verzeichnis C:\Windows\system32\ChronicleForwarder in ein anderes Verzeichnis.

3. Google SecOps-Weiterleitung beenden:

   C:\> sc.exe stop chronicle_forwarder
   

4. Deinstallieren Sie den Google SecOps-Forwarder-Dienst und die Anwendung:

   C:\> .\chronicle_forwarder.exe --uninstall
   

5. Löschen Sie alle Dateien im Verzeichnis C:\windows\system32\ChronicleForwarder.

6. Kopieren Sie die neue chronicle_forwarder.exe-Anwendung und die ursprüngliche Konfigurationsdatei in ein Arbeitsverzeichnis.

7. Führen Sie im Arbeitsverzeichnis den folgenden Befehl aus:

   C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
   

8. Dienst starten:

   C:\ sc.exe start chronicle_forwarder
   

Splunk-Daten erfassen

Wenden Sie sich an den Support von Google SecOps, um die Konfigurationsdatei Ihres Google SecOps-Forwarders zu aktualisieren, damit Ihre Splunk-Daten an Google Cloudweitergeleitet werden.

Syslog-Daten erfassen

Der Google SecOps-Forwarder kann als Syslog-Server fungieren. Das bedeutet, dass Sie jedes Gerät oder jeden Server, der das Senden von Syslog-Daten über eine TCP- oder UDP-Verbindung unterstützt, so konfigurieren können, dass die Daten an den Google SecOps-Forwarder weitergeleitet werden. Sie können genau festlegen, welche Daten das Gerät oder der Server an den Google SecOps-Forwarder sendet, der die Daten dann an Google Cloudweiterleiten kann.

In der Google SecOps-Forwarder-Konfigurationsdatei wird angegeben, welche Ports für die einzelnen Arten weitergeleiteter Daten überwacht werden sollen (z. B. Port 10514). Standardmäßig akzeptiert der Google SecOps-Forwarder sowohl TCP- als auch UDP-Verbindungen. Wenden Sie sich an den Google SecOps-Support, um die Konfigurationsdatei für den Google SecOps-Forwarder zu aktualisieren, damit Syslog unterstützt wird.

Datenkomprimierung aktivieren/deaktivieren

Durch die Logkomprimierung wird die Netzwerkbandbreite reduziert, die beim Übertragen von Logs an Google SecOps benötigt wird. Die Komprimierung kann jedoch zu einer erhöhten CPU-Auslastung führen. Der Kompromiss zwischen CPU-Nutzung und Bandbreite hängt von vielen Faktoren ab, darunter der Typ der Logdaten, die Komprimierbarkeit dieser Daten, die Verfügbarkeit von CPU-Zyklen auf dem Host, auf dem der Forwarder ausgeführt wird, und die Notwendigkeit, den Netzwerkbandbreitenverbrauch zu reduzieren.

Textbasierte Logs lassen sich beispielsweise gut komprimieren und können bei geringer CPU-Nutzung erhebliche Bandbreiteneinsparungen ermöglichen. Verschlüsselte Nutzlasten von Rohpaketen lassen sich jedoch nicht gut komprimieren und führen zu einer höheren CPU-Auslastung.

Da die meisten vom Forwarder aufgenommenen Logtypen effizient komprimierbar sind, ist die Logkomprimierung standardmäßig aktiviert, um den Bandbreitenverbrauch zu reduzieren. Wenn der erhöhte CPU-Verbrauch jedoch den Vorteil der Bandbreiteneinsparungen überwiegt, können Sie die Komprimierung deaktivieren, indem Sie das Feld compression in der Konfigurationsdatei des Google SecOps-Forwarders auf false setzen, wie im folgenden Beispiel gezeigt:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

TLS für Syslog-Konfigurationen aktivieren

Sie können Transport Layer Security (TLS) für die Syslog-Verbindung zum Google SecOps-Forwarder aktivieren. Geben Sie in der Konfigurationsdatei des Google SecOps-Forwarders den Speicherort Ihres Zertifikats und Zertifikatschlüssels an, wie im folgenden Beispiel gezeigt:

Basierend auf dem gezeigten Beispiel würde die Google SecOps-Forwarder-Konfiguration so geändert:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Sie können ein „certs“-Verzeichnis im Konfigurationsverzeichnis erstellen und die Zertifikatsdateien dort speichern.

Paketdaten erfassen

Der Google SecOps-Forwarder kann Pakete direkt von einer Netzwerkschnittstelle erfassen, indem er Npcap auf Windows-Systemen verwendet.

Pakete werden erfasst und an Google Cloud gesendet, anstatt Logeinträge. Die Erfassung erfolgt nur über eine lokale Schnittstelle.

Wenden Sie sich an den Google SecOps-Support, um die Google SecOps-Forwarder-Konfigurationsdatei zu aktualisieren, damit die Paketerfassung unterstützt wird.

Für die Ausführung eines PCAP-Forwarders benötigen Sie Folgendes:

• Installieren Sie Npcap auf dem Microsoft Windows-Host.

• Gewähren Sie dem Google SecOps-Forwarder Root- oder Administratorberechtigungen, um die Netzwerkschnittstelle zu überwachen.

• Es sind keine Befehlszeilenoptionen erforderlich.

• Aktivieren Sie bei der Npcap-Installation den WinPcap-Kompatibilitätsmodus.

Zum Konfigurieren eines PCAP-Forwarders Google Cloud ist die GUID für die Schnittstelle erforderlich,die zum Erfassen von Paketen verwendet wird. Führen Sie getmac.exe auf dem Computer aus, auf dem Sie den Google SecOps-Forwarder installieren möchten (entweder auf dem Server oder auf dem Computer, der den Span-Port überwacht), und senden Sie die Ausgabe an Google SecOps.

Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den PCAP-Abschnitt und ersetzen Sie den GUID-Wert neben der Schnittstelle durch die GUID, die beim Ausführen von „getmac.exe“ angezeigt wird.

Hier ist ein Beispiel für einen ursprünglichen PCAP-Abschnitt:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Hier sehen Sie die Ausgabe nach dem Ausführen von getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Und hier ist der überarbeitete PCAP-Abschnitt mit der neuen GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

WebProxy-Daten erheben

Der Google SecOps-Forwarder kann WebProxy-Daten direkt über eine Netzwerkschnittstelle mit Npcap erfassen und an Google Cloudsenden.

Wenn Sie die Erfassung von WebProxy-Daten für Ihr System aktivieren möchten, wenden Sie sich an den Google SecOps-Support.

Führen Sie die folgenden Schritte aus, bevor Sie einen WebProxy-Forwarder ausführen:

1. Installieren Sie Npcap auf dem Microsoft Windows-Host. Aktivieren Sie während der Installation den WinPcap-Kompatibilitätsmodus.

2. Erteilen Sie dem Google SecOps-Forwarder Root- oder Administratorberechtigungen, um die Netzwerkschnittstelle zu überwachen.

3. Zum Konfigurieren eines WebProxy-Forwarders benötigt Google Cloud die GUID für die Schnittstelle,die zum Erfassen der WebProxy-Pakete verwendet wird.

   Führen Sie getmac.exe auf dem Computer aus, auf dem Sie den Google SecOps-Forwarder installieren möchten, und senden Sie die Ausgabe an Google SecOps. Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den Abschnitt „WebProxy“ und ersetzen Sie die GUID, die neben der Schnittstelle angezeigt wird, durch die GUID, die nach dem Ausführen von getmac.exe angezeigt wird.

   Ändern Sie die Konfigurationsdatei des Google SecOps-Forwarders (FORWARDER_NAME.conf) so:

     - webproxy:
       common:
           enabled : true
           data_type: <Your LogType>
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
         bpf: tcp and dst port 80
   

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten