Se usó la API de Cloud Translation para traducir esta página.

Ejecutable del reenviador de Google SecOps para Windows

Compatible con:

Google SecOps SIEM

En este documento, se describe cómo instalar y configurar el retransmisor de Google SecOps en Microsoft Windows.

Personaliza los archivos de configuración

Según la información que enviaste antes de la implementación, Google Cloudte proporciona un archivo ejecutable y un archivo de configuración opcional para el reenvío de Google SecOps. El archivo ejecutable solo debe ejecutarse en el host para el que se configuró. Cada archivo ejecutable incluye una configuración específica para la instancia del reenvío de Google SecOps en tu red. Si necesitas modificar la configuración, comunícate con el equipo de Asistencia de SecOps de Google.

Requisitos del sistema

Las siguientes son recomendaciones generales. Para obtener recomendaciones específicas para tu sistema, comunícate con el equipo de asistencia al cliente de Google SecOps.

Versión de Windows Server: El agente de reenvío de Google SecOps es compatible con las siguientes versiones de Microsoft Windows Server:
- 2008 R2
- 2012 R2
- 2016
RAM: 1.5 GB para cada tipo de datos recopilados Por ejemplo, la detección y respuesta de extremos (EDR), el DNS y el DHCP son todos tipos de datos independientes. Necesitas 4.5 GB de RAM para recopilar datos de los tres.
CPU: 2 CPU son suficientes para controlar menos de 10,000 eventos por segundo (EPS) (total para todos los tipos de datos). Si prevés que reenviarás más de 10,000 EPS, necesitarás entre 4 y 6 CPU.
Disco: Se requieren 20 GB de espacio en disco, independientemente de la cantidad de datos que procese el reenvío de Google SecOps. De forma predeterminada, el retransmisor de Google SecOps no almacena en búfer en el disco, pero se recomienda habilitar el almacenamiento en búfer en el disco. Puedes almacenar en búfer el disco agregando los parámetros write_to_disk_buffer_enabled y write_to_disk_dir_path en el archivo de configuración.

Por ejemplo:
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

Rangos de direcciones IP de Google

Es posible que necesites el rango de direcciones IP para abrir cuando configures un reenvío de Google SecOps, por ejemplo, cuando configures el firewall. Google no puede proporcionar una lista específica de direcciones IP. Sin embargo, puedes obtener rangos de direcciones IP de Google.

Verifica la configuración del firewall

Si tienes firewalls o proxies autenticados entre el contenedor de reenvío de Google SecOps y la Internet, estos requieren reglas para permitir el acceso a los siguientes hosts: Google Cloud

Tipo de conexión	Destino	Puerto
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	europe-west9-malachiteingestion-pa.googleapis.com	443
TCP	europe-west12-malachiteingestion-pa.googleapis.com	443
TCP	me-central1-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	southamerica-east1-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	cloud.google.com/artifact-registry	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

Sigue estos pasos para verificar la conectividad de red con Google Cloud :

Inicia Windows PowerShell con privilegios de administrador (haz clic en Inicio, escribe PowerShell, haz clic con el botón derecho en Windows PowerShell y, luego, en Ejecutar como administrador).

Ejecuta el siguiente comando. TcpTestSucceeded debería devolver verdadero.

C:\> test-netconnection <host> -port <port>

Por ejemplo:

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

También puedes usar el reenvío de Google SecOps para verificar la conectividad de la red:

Inicia el Símbolo del sistema con privilegios de administrador (haz clic en Inicio, escribe Command Prompt, haz clic con el botón derecho en Símbolo del sistema y haz clic en Ejecutar como administrador).
Para verificar la conectividad de la red, ejecuta el reenvío de Google SecOps con la opción -test.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

Instala el servidor de reenvío de Google SecOps en Windows

En Windows, el ejecutable del servidor de reenvío de Google SecOps debe instalarse como un servicio.

Copia el archivo chronicle_forwarder.exe y el archivo de configuración en un directorio de trabajo.
Inicia el Símbolo del sistema con privilegios de administrador (haz clic en Inicio, escribe Command Prompt, haz clic con el botón derecho en Símbolo del sistema y haz clic en Ejecutar como administrador).
Para instalar el servicio, navega al directorio de trabajo que creaste en el paso 1 y ejecuta el siguiente comando:
```
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
```
Reemplaza FILE_NAME por el nombre del archivo de configuración que se te proporcionó.

El servicio se instala en C:\Windows\system32\ChronicleForwarder.
Para iniciar el servicio, ejecuta el siguiente comando:
```
C:\> sc.exe start chronicle_forwarder
```

Verifica que el reenvío de Google SecOps esté en ejecución

El reenvío de Google SecOps debe tener una conexión de red abierta en el puerto 443, y tus datos deberían mostrarse en la interfaz web de Google SecOps en cuestión de minutos.

Puedes verificar que el reenvío de Google SecOps se esté ejecutando con cualquiera de los siguientes métodos:

Administrador de tareas: Navega a la pestaña Procesos > Procesos en segundo plano > chronicle_forwarder.
Monitor de recursos: En la pestaña Red, la aplicación chronicle_forwarder.exe debe aparecer en Actividad de red (siempre que la aplicación chronicle_forwarder.exe se conecte a Google Cloud), en Conexiones TCP y en Puertos de escucha.

Cómo ver los registros del reenvío

Los archivos de registro del reenvío de Google SecOps se almacenan en la carpeta C:\Windows\Temp. Los archivos de registro comienzan con chronicle_forwarder.exe.win-forwarder. Los archivos de registro proporcionan una variedad de información, incluido el momento en que se inició el reenvío y cuándo comenzó a enviar datos a Google Cloud.

Desinstala el reenviador de Google SecOps

Para desinstalar el servicio de reenvío de Google SecOps, completa los siguientes pasos:

Abre el símbolo del sistema en modo de administrador.

Detén el servicio de reenvío de Google SecOps:

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

Navega al directorio C:\Windows\system32\ChronicleForwarder y desinstala el servicio de reenvío de Google SecOps: C:\> .\chronicle_forwarder.exe -uninstall

Actualiza el reenvío de Google SecOps

Para actualizar el reenvío de Google SecOps y seguir usando tu archivo de configuración actual, completa los siguientes pasos:

Abre el símbolo del sistema en modo de administrador.
Copia tu archivo de configuración del directorio C:\Windows\system32\ChronicleForwarder a otro directorio.
Detén el agente de reenvío de Google SecOps:
```
C:\> sc.exe stop chronicle_forwarder
```
Desinstala el servicio y la aplicación de reenvío de Google SecOps:
```
C:\> .\chronicle_forwarder.exe --uninstall
```
Borra todos los archivos del directorio C:\windows\system32\ChronicleForwarder.
Copia la nueva aplicación chronicle_forwarder.exe y el archivo de configuración original en un directorio de trabajo.

Desde el directorio de trabajo, ejecuta el siguiente comando:

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

Inicia el servicio:
```
C:\ sc.exe start chronicle_forwarder
```

Recopila datos de Splunk

Comunícate con el equipo de asistencia de Google SecOps para actualizar el archivo de configuración del retransmisor de Google SecOps y retransmitir tus datos de Splunk a Google Cloud.

Recopila datos de Syslog

El agente de reenvío de Google SecOps puede funcionar como un servidor syslog, lo que significa que puedes configurar cualquier dispositivo o servidor que admita el envío de datos syslog a través de una conexión TCP o UDP para que reenvíe sus datos al agente de reenvío de Google SecOps. Puedes controlar exactamente qué datos envían el dispositivo o el servidor al retransmisor de Google SecOps, que luego puede reenviar los datos a Google Cloud.

El archivo de configuración del reenvío de Google SecOps especifica qué puertos supervisar para cada tipo de datos reenviados (por ejemplo, el puerto 10514). De forma predeterminada, el reenvío de SecOps de Google acepta conexiones TCP y UDP. Comunícate con el equipo de asistencia de Google SecOps para actualizar el archivo de configuración del reenvío de Google SecOps y que sea compatible con syslog.

Activar o desactivar la compresión de datos

La compresión de registros reduce el consumo de ancho de banda de la red cuando se transfieren registros a Google SecOps. Sin embargo, la compresión podría provocar un aumento en el uso de la CPU. La compensación entre el uso de CPU y el ancho de banda depende de muchos factores, como el tipo de datos de registro, la capacidad de compresión de esos datos, la disponibilidad de ciclos de CPU en el host que ejecuta el reenvío y la necesidad de reducir el consumo de ancho de banda de la red.

Por ejemplo, los registros basados en texto se comprimen bien y pueden proporcionar ahorros sustanciales de ancho de banda con un uso bajo de la CPU. Sin embargo, las cargas útiles encriptadas de los paquetes sin procesar no se comprimen bien y generan un mayor uso de la CPU.

Dado que la mayoría de los tipos de registros que ingiere el reenviador se pueden comprimir de manera eficiente, la compresión de registros está habilitada de forma predeterminada para reducir el consumo de ancho de banda. Sin embargo, si el aumento en el uso de la CPU supera el beneficio del ahorro de ancho de banda, puedes inhabilitar la compresión configurando el campo compression como false en el archivo de configuración del reenvío de Google SecOps, como se muestra en el siguiente ejemplo:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Habilita TLS para las configuraciones de syslog

Puedes habilitar la seguridad de la capa de transporte (TLS) para la conexión de syslog al reenvío de Google SecOps. En el archivo de configuración del reenvío de Google SecOps, especifica la ubicación de tu certificado y la clave del certificado, como se muestra en el siguiente ejemplo:

certificado	`C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
certificate_key	`C:/opt/chronicle/external/certs/forwarder.key`

Según el ejemplo que se muestra, la configuración del reenvío de SecOps de Google se modificaría de la siguiente manera:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Puedes crear un directorio de certificados en el directorio de configuración y almacenar allí los archivos de certificados.

Recopila datos de paquetes

El reenvío de SecOps de Google puede capturar paquetes directamente desde una interfaz de red con Npcap en sistemas Windows.

Los paquetes se capturan y se envían a Google Cloud en lugar de las entradas de registro. La captura se realiza solo desde una interfaz local.

Comunícate con el equipo de asistencia de Google SecOps para actualizar el archivo de configuración del reenvío de Google SecOps y admitir la captura de paquetes.

Para ejecutar un retransmisor de captura de paquetes (PCAP), necesitas lo siguiente:

Instala Npcap en el host de Microsoft Windows.
Otorga privilegios de administrador o de raíz al retransmisor de Google SecOps para supervisar la interfaz de red.
No se necesitan opciones de línea de comandos.
En la instalación de Npcap, habilita el modo de compatibilidad con WinPcap.

Para configurar un reenvío de PCAP, Google Cloud necesita el GUID de la interfaz que se usa para capturar paquetes. Ejecuta getmac.exe en la máquina en la que planeas instalar el reenvío de Google SecOps (ya sea el servidor o la máquina que escucha en el puerto de expansión) y envía el resultado a Google SecOps.

Como alternativa, puedes modificar el archivo de configuración. Ubica la sección PCAP y reemplaza el valor del GUID que se muestra junto a la interfaz por el GUID que se muestra cuando se ejecuta getmac.exe.

Por ejemplo, a continuación, se muestra una sección de PCAP original:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Este es el resultado de ejecutar getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Por último, aquí se muestra la sección PCAP revisada con el nuevo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Recopila datos de WebProxy

El agente de reenvío de SecOps de Google puede capturar datos de WebProxy directamente desde una interfaz de red con Npcap y enviarlos a Google Cloud.

Para habilitar la captura de datos de WebProxy en tu sistema, comunícate con el equipo de asistencia de Google SecOps.

Antes de ejecutar un retransmisor de WebProxy, haz lo siguiente:

Instala Npcap en el host de Microsoft Windows. Habilita el modo de compatibilidad con WinPcap durante la instalación.
Otorga privilegios de administrador o raíz al reenvío de Google SecOps para supervisar la interfaz de red.
Para configurar un reenvío de WebProxy, Google Cloud necesita el GUID de la interfaz que se usa para capturar los paquetes de WebProxy.

Ejecuta getmac.exe en la máquina en la que deseas instalar el reenvío de Google SecOps y envía el resultado a Google SecOps. Como alternativa, puedes modificar el archivo de configuración. Busca la sección WebProxy y reemplaza el GUID que se muestra junto a la interfaz por el GUID que se muestra después de ejecutar getmac.exe.

Modifica el archivo de configuración del reenvío de Google SecOps (FORWARDER_NAME.conf) de la siguiente manera:
```
  - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80
```

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.