Esta página se ha traducido con Cloud Translation API.

Ejecutable de la herramienta de reenvío de Google SecOps para Windows

Disponible en:

SecOps de Google SIEM

En este documento se describe cómo instalar y configurar el reenviador de Google SecOps en Microsoft Windows.

Personalizar los archivos de configuración

En función de la información que hayas enviado antes de la implementación, Google Cloud te proporciona un archivo ejecutable y un archivo de configuración opcional para el reenviador de Google SecOps. El archivo ejecutable solo debe ejecutarse en el host para el que se ha configurado. Cada archivo ejecutable incluye una configuración específica de la instancia del reenviador de Google SecOps en tu red. Si necesitas modificar la configuración, ponte en contacto con el equipo de Asistencia de Google SecOps.

Requisitos del sistema

A continuación, se indican recomendaciones generales. Para obtener recomendaciones específicas para tu sistema, ponte en contacto con el equipo de Asistencia de Google SecOps.

Versión de Windows Server: el reenviador de Google SecOps es compatible con las siguientes versiones de Microsoft Windows Server:
- 2008 R2
- 2012 R2
- 2016
RAM: 1,5 GB por cada tipo de datos recogido. Por ejemplo, la detección y respuesta de endpoints (EDR), el DNS y el DHCP son tipos de datos independientes. Necesitas 4,5 GB de RAM para recoger datos de los tres.
CPU: 2 CPUs son suficientes para gestionar menos de 10.000 eventos por segundo (EPS) (total de todos los tipos de datos). Si tienes previsto reenviar más de 10.000 EPS, necesitarás entre 4 y 6 CPUs.
Disco: se necesitan 20 GB de espacio en disco, independientemente de la cantidad de datos que gestione el reenviador de Google SecOps. El reenviador de SecOps de Google no almacena en búfer en el disco de forma predeterminada, pero se recomienda habilitar el almacenamiento en búfer en el disco. Puedes almacenar en búfer el disco añadiendo los parámetros write_to_disk_buffer_enabled y write_to_disk_dir_path al archivo de configuración.

Por ejemplo:
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

Intervalos de direcciones IP de Google

Es posible que necesites el intervalo de direcciones IP que debes abrir al configurar un reenviador de Google SecOps, como cuando configures tu cortafuegos. Google no puede proporcionar una lista específica de direcciones IP. Sin embargo, puedes obtener intervalos de direcciones IP de Google.

Verificar la configuración del cortafuegos

Si tienes cortafuegos o proxies autenticados entre el contenedor del reenviador de Google SecOps e Internet, requieren reglas para permitir el acceso a los siguientes hosts: Google Cloud

Tipo de conexión	Destino	Port (Puerto)
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	eu-chronicle.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	europe-west9-malachiteingestion-pa.googleapis.com	443
TCP	europe-west12-malachiteingestion-pa.googleapis.com	443
TCP	me-central1-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	southamerica-east1-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	cloud.google.com/artifact-registry	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

Para comprobar la conectividad de la red a Google Cloud , sigue estos pasos:

Inicia Windows PowerShell con privilegios de administrador (haz clic en Inicio, escribe PowerShell, haz clic con el botón derecho en Windows PowerShell y, a continuación, en Ejecutar como administrador).

Ejecuta el siguiente comando: TcpTestSucceeded debería devolver true.

C:\> test-netconnection <host> -port <port>

Por ejemplo:

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

También puedes usar el reenviador de Google SecOps para comprobar la conectividad de la red:

Inicia el símbolo del sistema con privilegios de administrador (haz clic en Inicio, escribe Command Prompt, haz clic con el botón derecho en Símbolo del sistema y, a continuación, en Ejecutar como administrador).
Para verificar la conectividad de la red, ejecuta el reenviador de Google SecOps con la opción -test.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

Instalar el reenviador de Google SecOps en Windows

En Windows, el archivo ejecutable del reenviador de Google SecOps debe instalarse como un servicio.

Copia el archivo chronicle_forwarder.exe y el archivo de configuración en un directorio de trabajo.
Inicia el símbolo del sistema con privilegios de administrador (haz clic en Inicio, escribe Command Prompt, haz clic con el botón derecho en Símbolo del sistema y, a continuación, en Ejecutar como administrador).
Para instalar el servicio, ve al directorio de trabajo que has creado en el paso 1 y ejecuta el siguiente comando:
```
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
```
Sustituye FILE_NAME por el nombre del archivo de configuración que se te ha proporcionado.

El servicio se instala en C:\Windows\system32\ChronicleForwarder.
Para iniciar el servicio, ejecuta el siguiente comando:
```
C:\> sc.exe start chronicle_forwarder
```

Verificar que el reenviador de Google SecOps se está ejecutando

El reenviador de Google SecOps debe tener una conexión de red abierta en el puerto 443 y sus datos deberían mostrarse en la interfaz web de Google SecOps en cuestión de minutos.

Puede verificar que el reenviador de SecOps de Google está en funcionamiento con cualquiera de los siguientes métodos:

Administrador de tareas: ve a la pestaña Procesos > Procesos en segundo plano > chronicle_forwarder.
Monitor de recursos: en la pestaña Red, la aplicación chronicle_forwarder.exe debería aparecer en Actividad de red (siempre que la aplicación chronicle_forwarder.exe se conecte a Google Cloud), en Conexiones TCP y en Puertos de escucha.

Ver registros de reenviadores

Los archivos de registro del reenviador de Google SecOps se almacenan en la carpeta C:\Windows\Temp. Los archivos de registro empiezan por chronicle_forwarder.exe.win-forwarder. Los archivos de registro proporcionan información variada, como cuándo se inició el reenviador y cuándo empezó a enviar datos a Google Cloud.

Desinstalar el reenviador de Google SecOps

Para desinstalar el servicio de reenvío de Google SecOps, sigue estos pasos:

Abre el símbolo del sistema en modo administrador.

Detén el servicio de reenvío de Google SecOps:

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

Ve al directorio C:\Windows\system32\ChronicleForwarder y desinstala el servicio de reenvío de Google SecOps: C:\> .\chronicle_forwarder.exe -uninstall

Actualizar el reenviador de Google SecOps

Para actualizar el reenviador de Google SecOps y seguir usando el archivo de configuración actual, sigue estos pasos:

Abre el símbolo del sistema en modo administrador.
Copia el archivo de configuración del directorio C:\Windows\system32\ChronicleForwarder en otro directorio.
Detén el reenviador de Google SecOps:
```
C:\> sc.exe stop chronicle_forwarder
```
Desinstala el servicio y la aplicación de reenvío de Google SecOps:
```
C:\> .\chronicle_forwarder.exe --uninstall
```
Elimina todos los archivos del directorio C:\windows\system32\ChronicleForwarder.
Copia la nueva aplicación chronicle_forwarder.exe y el archivo de configuración original en un directorio de trabajo.

En el directorio de trabajo, ejecuta el siguiente comando:

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

Inicia el servicio:
```
C:\ sc.exe start chronicle_forwarder
```

Recoger datos de Splunk

Ponte en contacto con el equipo de Asistencia de Google SecOps para actualizar el archivo de configuración de tu reenviador de Google SecOps y reenviar tus datos de Splunk a Google Cloud.

Recoger datos de syslog

El reenviador de Google SecOps puede funcionar como un servidor syslog, lo que significa que puedes configurar cualquier dispositivo o servidor que admita el envío de datos syslog a través de una conexión TCP o UDP para que reenvíe sus datos al reenviador de Google SecOps. Puede controlar exactamente qué datos envía el dispositivo o el servidor al reenviador de Google SecOps, que puede reenviar los datos a Google Cloud.

El archivo de configuración del reenviador de Google SecOps especifica qué puertos se deben monitorizar para cada tipo de datos reenviados (por ejemplo, el puerto 10514). De forma predeterminada, el reenviador de Google SecOps acepta conexiones TCP y UDP. Ponte en contacto con el equipo de Asistencia de Google SecOps para actualizar el archivo de configuración del reenviador de Google SecOps y que sea compatible con syslog.

Activar o desactivar la compresión de datos

La compresión de registros reduce el consumo de ancho de banda de la red al transferir registros a Google SecOps. Sin embargo, la compresión puede provocar un aumento del uso de la CPU. El equilibrio entre el uso de la CPU y el ancho de banda depende de muchos factores, como el tipo de datos de registro, la compresibilidad de esos datos, la disponibilidad de ciclos de CPU en el host que ejecuta el reenviador y la necesidad de reducir el consumo de ancho de banda de la red.

Por ejemplo, los registros basados en texto se comprimen bien y pueden proporcionar un ahorro de ancho de banda considerable con un uso de CPU bajo. Sin embargo, las cargas útiles cifradas de paquetes sin procesar no se comprimen bien y conllevan un mayor uso de la CPU.

Dado que la mayoría de los tipos de registro que ingiere el reenviador se pueden comprimir de forma eficiente, la compresión de registros está habilitada de forma predeterminada para reducir el consumo de ancho de banda. Sin embargo, si el aumento del uso de la CPU supera el beneficio del ahorro de ancho de banda, puede inhabilitar la compresión configurando el campo compression como false en el archivo de configuración del reenviador de Google SecOps, tal como se muestra en el siguiente ejemplo:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Habilitar TLS para configuraciones de syslog

Puedes habilitar Seguridad en la capa de transporte (TLS) para la conexión syslog al reenviador de Google SecOps. En el archivo de configuración del reenviador de Google SecOps, especifica la ubicación de tu certificado y de la clave del certificado, tal como se muestra en el siguiente ejemplo:

certificado	`C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
certificate_key	`C:/opt/chronicle/external/certs/forwarder.key`

Según el ejemplo mostrado, la configuración del reenviador de Google SecOps se modificaría de la siguiente manera:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Puedes crear un directorio certs en el directorio de configuración y almacenar los archivos de certificado allí.

Recoger datos de paquetes

El reenviador de SecOps de Google puede capturar paquetes directamente desde una interfaz de red mediante Npcap en sistemas Windows.

Los paquetes se capturan y se envían a Google Cloud en lugar de a las entradas de registro. La captura solo se realiza desde una interfaz local.

Ponte en contacto con el equipo de Asistencia de Google SecOps para actualizar el archivo de configuración del reenviador de Google SecOps y habilitar la captura de paquetes.

Para ejecutar un reenviador de captura de paquetes (PCAP), necesitas lo siguiente:

Instala Npcap en el host de Microsoft Windows.
Concede privilegios de administrador o de root al reenviador de Google SecOps para monitorizar la interfaz de red.
No se necesitan opciones de línea de comandos.
En la instalación de Npcap, habilita el modo de compatibilidad con WinPcap.

Para configurar un reenviador PCAP, Google Cloud necesita el GUID de la interfaz que se usa para capturar paquetes. Ejecuta getmac.exe en el equipo en el que quieras instalar el reenviador de Google SecOps (el servidor o el equipo que escucha en el puerto de span) y envía el resultado a Google SecOps.

También puedes modificar el archivo de configuración. Busca la sección PCAP y sustituye el valor GUID que se muestra junto a la interfaz por el GUID que se muestra al ejecutar getmac.exe.

Por ejemplo, a continuación se muestra una sección PCAP original:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Este es el resultado de ejecutar getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Por último, aquí tienes la sección PCAP revisada con el nuevo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Recoger datos de WebProxy

El reenviador de Google SecOps puede capturar datos de WebProxy directamente desde una interfaz de red mediante Npcap y enviarlos a Google Cloud.

Para habilitar la captura de datos de WebProxy en tu sistema, ponte en contacto con el equipo de Asistencia de Google SecOps.

Antes de ejecutar un reenviador WebProxy, haz lo siguiente:

Instala Npcap en el host de Microsoft Windows. Habilita el modo de compatibilidad con WinPcap durante la instalación.
Concede privilegios de administrador o root al reenviador de Google SecOps para monitorizar la interfaz de red.
Para configurar un reenviador WebProxy, Google Cloud necesita el GUID de la interfaz que se usa para capturar los paquetes WebProxy.

Ejecuta getmac.exe en el equipo en el que quieras instalar el reenviador de Google SecOps y envía el resultado a Google SecOps. También puedes modificar el archivo de configuración. Busca la sección WebProxy y sustituye el GUID que se muestra junto a la interfaz por el GUID que aparece después de ejecutar getmac.exe.

Modifica el archivo de configuración del reenviador de Google SecOps (FORWARDER_NAME.conf) de la siguiente manera:
```
  - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80
```

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.