Archivo ejecutable del reenviador de Google Security Operations para Windows

Se admite en los siguientes países:

En este documento, se describe cómo instalar y configurar el reenviador de Google Security Operations en Microsoft Windows.

Personaliza los archivos de configuración

Según la información que enviaste antes de la implementación, Google Cloud proporciona un archivo ejecutable y un archivo de configuración opcional para el Servicio de reenvío de Google Security Operations. El archivo ejecutable solo debe ejecutarse en el host para el que se configuró. Cada archivo ejecutable incluye la configuración específica de la instancia de reenvío de Google Security Operations en tu red. Si necesitas modificar la configuración, comunícate con el equipo de asistencia de Google Security Operations.

Requisitos del sistema

Las siguientes son recomendaciones generales. Para obtener recomendaciones específicas comunícate con el equipo de asistencia de Google Security Operations.

  • Versión de Windows Server: Se admite el servidor de reenvío de Google Security Operations. en las siguientes versiones de Microsoft Windows Server:

    • 2008 R2

    • 2012 R2

    • 2016

  • RAM: 1.5 GB para cada tipo de datos recopilados Por ejemplo, la detección y respuesta del endpoint (EDR), DNS y DHCP son tipos de datos independientes. Se necesitan 4.5 GB de RAM para recopilar datos las tres.

  • CPU: 2 CPUs son suficientes para controlar menos de 10,000 eventos por segundo (EPS) (total para todos los tipos de datos). Si esperas reenviar más de 10,000 EPS, se necesitan de 4 a 6 CPU.

  • Disco: 100 MB de espacio en el disco son suficientes, sin importar la cantidad de datos que el servidor de reenvío de Google Security Operations. controladores. El reenviador de operaciones de seguridad de Google no almacena en búfer en el disco de forma predeterminada. Puedes almacenar el disco en el búfer si agregas los parámetros write_to_disk_buffer_enabled y write_to_disk_dir_path en el archivo de configuración.

    Por ejemplo:

    - <collector>:
         common:
             ...
             write_to_disk_buffer_enabled: true
             write_to_disk_dir_path: <var>your_path</var>
             ...
    

Rangos de direcciones IP de Google

Es posible que necesites que se abra el rango de direcciones IP cuando establezcas una configuración del servidor de reenvío de Google Security Operations. como cuando estableces la configuración de tu firewall. Google no puede proporcionar una lista específica de direcciones IP. Sin embargo, puedes obtener rangos de direcciones IP de Google.

Verifica la configuración del firewall

Si tienes firewalls o proxies autenticados entre el contenedor de reenvío de Google Security Operations y en Internet, requieren reglas para permitir el acceso a los siguientes hosts de Google Cloud:

Tipo de conexión Destino Puerto
TCP malachiteingestion-pa.googleapis.com 443
TCP asia-northeast1-malachiteingestion-pa.googleapis.com 443
TCP asia-south1-malachiteingestion-pa.googleapis.com 443
TCP asia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP australia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP europe-malachiteingestion-pa.googleapis.com 443
TCP europe-west2-malachiteingestion-pa.googleapis.com 443
TCP europe-west3-malachiteingestion-pa.googleapis.com 443
TCP europe-west6-malachiteingestion-pa.googleapis.com 443
TCP europe-west12-malachiteingestion-pa.googleapis.com 443
TCP me-central1-malachiteingestion-pa.googleapis.com 443
TCP me-central2-malachiteingestion-pa.googleapis.com 443
TCP me-west1-malachiteingestion-pa.googleapis.com 443
TCP northamerica-northeast2-malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443
TCP gcr.io 443
TCP oauth2.googleapis.com 443
TCP storage.googleapis.com 443

Puedes verificar la conectividad de red a Google Cloud con los siguientes pasos:

  1. Inicia Windows PowerShell con privilegios de administrador (haz clic en Iniciar, escribe PowerShell, haz clic con el botón derecho en Windows PowerShell y, luego, en Ejecutar como administrador).

  2. Ejecuta el siguiente comando. TcpTestSucceeded debe mostrar el valor verdadero.

    C:\> test-netconnection <host> -port <port>

    Por ejemplo:

    C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
    ComputerName     : malchiteingestion-pa.googleapis.com
    RemoteAddress    : 198.51.100.202
    RemotePort       : 443
    InterfaceAlias   : Ethernet
    SourceAddress    : 10.168.0.2
    TcpTestSucceeded : True
    

También puedes usar el servidor de reenvío de Google Security Operations para verificar la conectividad de red:

  1. Inicia el símbolo del sistema con privilegios de administrador (haz clic en Iniciar, escribe Command Prompt, haz clic con el botón derecho en Símbolo del sistema y, luego, en Ejecutar como administrador).

  2. Para verificar la conectividad de red, ejecuta el servidor de reenvío de Google Security Operations con la opción -test.

    C:\> .\chronicle_forwarder.exe -test
    Verify network connection succeeded!
    

Instala el servidor de reenvío de Google Security Operations en Windows

En Windows, el archivo ejecutable de reenvío de Google Security Operations debe instalarse como un servicio.

  1. Copia el archivo chronicle_forwarder.exe y el de configuración en un directorio de trabajo.

  2. Inicia el símbolo del sistema con privilegios de administrador (haz clic en Iniciar, escribe Command Prompt, haz clic con el botón derecho en Símbolo del sistema y, luego, en Ejecutar como administrador).

  3. Para instalar el servicio, navega al directorio de trabajo que creaste en el paso 1 y ejecuta el siguiente comando:

    C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
    

    Reemplaza FILE_NAME por el nombre del archivo de configuración. que se te proporcionan.

    El servicio se instala en C:\Windows\system32\ChronicleForwarder.

  4. Para iniciar el servicio, ejecuta el siguiente comando:

    C:\> sc.exe start chronicle_forwarder
    

Verifica que se esté ejecutando el servidor de reenvío de Google Security Operations

El reenviador de Google Security Operations debe tener una conexión de red abierta en el puerto 443, y tus datos deberían mostrarse en la interfaz web de Google Security Operations en cuestión de minutos.

Puedes verificar que el servidor de reenvío de Google Security Operations se esté ejecutando con cualquiera de los siguientes métodos:

  • Administrador de tareas: Navega a la pestaña Procesos > Procesos en segundo plano > chronicle_forwarder.

  • Monitor de recursos: En la pestaña Network, la aplicación chronicle_forwarder.exe debe aparecer en Network Activity (siempre que la aplicación chronicle_forwarder.exe se conecte a Google Cloud), en TCP Connections y en Listening Ports.

Ver registros de reenviadores

Los archivos de registro del servidor de reenvío de Google Security Operations se almacenan en C:\Windows\Temp carpeta. Los archivos de registro comienzan con chronicle_forwarder.exe.win-forwarder. Los archivos de registro brindan información variada, incluso cuándo se y cuándo comenzó a enviar datos a Google Cloud.

Desinstala el servidor de reenvío de Google Security Operations

Para desinstalar el servicio de reenvío de Google Security Operations, sigue estos pasos:

  1. Abre el símbolo del sistema en modo de administrador.

  2. Detén el servicio de reenvío de Google Security Operations:

    SERVICE_NAME: chronicle_forwarder
    TYPE               : 10  WIN32_OWN_PROCESS
    STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0
    
  3. Navega al directorio C:\Windows\system32\ChronicleForwarder y desinstala el servicio de reenvío de Google Security Operations: C:\> .\chronicle_forwarder.exe -uninstall

Actualiza el reenviador de Google Security Operations

Para actualizar el servidor de reenvío de Google Security Operations sin dejar de usar tu archivo de configuración actual, sigue estos pasos:

  1. Abre el símbolo del sistema en modo de administrador.

  2. Copia el archivo de configuración del directorio C:\Windows\system32\ChronicleForwarder a otro directorio.

  3. Detén el servidor de reenvío de Google Security Operations:

    C:\> sc.exe stop chronicle_forwarder
    
  4. Desinstala el servicio y la aplicación de reenvío de Google Security Operations:

    C:\> .\chronicle_forwarder.exe --uninstall
    
  5. Borra todos los archivos del directorio C:\windows\system32\ChronicleForwarder.

  6. Copia la nueva aplicación chronicle_forwarder.exe y el archivo de configuración original en un directorio de trabajo.

  7. Desde el directorio de trabajo, ejecuta el siguiente comando:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
    
  8. Inicia el servicio:

    C:\ sc.exe start chronicle_forwarder
    

Recopila datos de Splunk

Comunícate con el equipo de Asistencia de Google Security Operations para actualizar el archivo de configuración del reenviador de Google Security Operations y que reenvíe tus datos de Splunk a Google Cloud.

Recopilar datos de syslog

El servidor de reenvío de Google Security Operations puede funcionar como un servidor syslog, por lo que puedes configurar cualquier dispositivo o servidor que admita el envío de datos de syslog a través de una conexión TCP o UDP que reenvíen sus datos al servidor de reenvío de Google Security Operations. Puedes controlar exactamente qué datos que el dispositivo o el servidor envía al servidor de reenvío de Google Security Operations, que luego puede reenviar los datos a Google Cloud.

El archivo de configuración del servidor de reenvío de Google Security Operations especifica qué puertos se deben supervisar cada tipo de datos reenviados (por ejemplo, el puerto 10514). De forma predeterminada, el servidor de reenvío de Google Security Operations acepta conexiones TCP y UDP. Comunícate con el equipo de asistencia de Google Security Operations para actualizar tu archivo de configuración del servidor de reenvío de Google Security Operations para que sea compatible con syslog.

Activar o desactivar la compresión de datos

La compresión de registros reduce el consumo de ancho de banda de la red cuando se transfieren registros a Google Security Operations. Sin embargo, la compresión puede causar un aumento en el uso de la CPU. La compensación entre el uso de la CPU y el ancho de banda depende de muchos factores, como el tipo de datos de registro, la comprimibilidad de esos datos, la disponibilidad de ciclos de CPU en el host que ejecuta el reenviador y la necesidad de reducir el consumo de ancho de banda de la red.

Por ejemplo, los registros basados en texto se comprimen bien y pueden proporcionar ahorros de ancho de banda considerables con poco uso de CPU. Sin embargo, las cargas útiles encriptadas de paquetes sin procesar no se comprimen bien y generan un mayor uso de CPU.

Dado que la mayoría de los tipos de registros que transfiere el reenviador se pueden comprimir de manera eficiente, la compresión de registros está habilitada de forma predeterminada para reducir el consumo de ancho de banda. Sin embargo, si el aumento del uso de la CPU supera el beneficio del ahorro de ancho de banda, puedes inhabilitar la compresión configurando el campo compression como false en el archivo de configuración del reenviador de operaciones de seguridad de Google, como se muestra en el siguiente ejemplo:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Habilitar TLS para configuraciones de syslog

Puedes habilitar la seguridad de la capa de transporte (TLS) para la conexión syslog a Google Security Operations reenviador. En el archivo de configuración del servidor de configuración de Google Security Operations, especifica la del certificado y de la clave del certificado, tal como se muestra a continuación ejemplo:

certificado C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem
certificate_key C:/opt/chronicle/external/certs/forwarder.key

Según el ejemplo que se muestra, la configuración del servidor de reenvío de Google Security Operations modificarse de la siguiente manera:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Puedes crear un directorio certs en el directorio de configuración y almacenar los archivos de certificados allí.

Recopilar datos de paquetes

En sistemas Windows, el servidor de reenvío de Google Security Operations puede capturar paquetes directamente desde una interfaz de red.

Los paquetes se capturan y se envían a Google Cloud en lugar de entradas de registro. La captura se realiza solo desde una interfaz local.

Comunícate con el equipo de asistencia de Google Security Operations para actualizar el archivo de configuración del servidor de reenvío de Google Security Operations para admitir la captura de paquetes.

Para ejecutar un servidor de reenvío de captura de paquetes (PCAP), necesitas lo siguiente:

  • Instala Npcap en el host de Microsoft Windows.

  • Otorga privilegios de administrador o raíz para el reenviador de Google Security Operations para supervisar la interfaz de red.

  • No se necesitan opciones de línea de comandos.

  • En la instalación de Npcap, habilita el modo de compatibilidad de WinPcap.

Para configurar un servidor de reenvío PCAP, Google Cloud necesita el GUID de la interfaz que se usa para capturar paquetes. Ejecuta getmac.exe en la máquina en la que planeas instalar el servidor de reenvío de Google Security Operations. (ya sea el servidor o la máquina que escucha en el puerto de intervalo) y envía el resultado a Google Security Operations.

De manera alternativa, puedes modificar el archivo de configuración. Busca la sección PCAP y reemplaza el valor de GUID que se muestra junto a la interfaz con el GUID que se muestra cuando se ejecuta getmac.exe.

Por ejemplo, esta es una sección original de PCAP:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Este es el resultado de la ejecución de getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Por último, esta es la sección PCAP revisada con el nuevo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Recopilar datos de WebProxy

El servidor de reenvío de Google Security Operations puede capturar datos de WebProxy directamente de una red con Npcap y enviarla a Google Cloud.

Para habilitar la captura de datos de WebProxy en tu sistema, comunícate con el equipo de asistencia de Google Security Operations.

Antes de ejecutar un servidor de reenvío de WebProxy, haz lo siguiente:

  1. Instala Npcap en el host de Microsoft Windows. Habilitar la compatibilidad con WinPcap durante la instalación.

  2. Otorga privilegios de raíz o administrador al reenviador de Operaciones de seguridad de Google para supervisar la interfaz de red.

  3. Para configurar un servidor de reenvío de WebProxy, Google Cloud necesita el GUID del que se usa para capturar los paquetes de WebProxy.

    Ejecuta getmac.exe en la máquina en la que quieres instalar Google Security Operations. y envía el resultado a Google Security Operations. Como alternativa, puedes modificar el archivo de configuración. Localiza la sección WebProxy y reemplaza el GUID. que se muestra junto a la interfaz con el GUID después de ejecutar getmac.exe.

    Modifica la configuración del servidor de reenvío de Google Security Operations (FORWARDER_NAME.conf) de la siguiente manera:

      - webproxy:
        common:
            enabled : true
            data_type: <Your LogType>
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
          bpf: tcp and dst port 80