Cette page a été traduite par l'API Cloud Translation.

Exécutable du redirecteur Google SecOps pour Windows

Compatible avec :

Google SecOps SIEM

Ce document explique comment installer et configurer le redirecteur Google SecOps sur Microsoft Windows.

Personnaliser les fichiers de configuration

En fonction des informations que vous avez fournies avant le déploiement, Google Cloudvous fournit un fichier exécutable et un fichier de configuration facultatif pour le transmetteur Google SecOps. Le fichier exécutable ne doit être exécuté que sur l'hôte pour lequel il a été configuré. Chaque fichier exécutable inclut une configuration spécifique à l'instance de transfert Google SecOps sur votre réseau. Si vous devez modifier la configuration, contactez l'assistance Google SecOps.

Configuration requise

Voici quelques recommandations générales. Pour obtenir des recommandations spécifiques à votre système, contactez l'assistance Google SecOps.

Version de Windows Server : le redirecteur Google SecOps est compatible avec les versions suivantes de Microsoft Windows Server :
- 2008 R2
- 2012 R2
- 2016
RAM : 1,5 Go pour chaque type de données collecté. Par exemple, la détection et la réponse au niveau des points de terminaison (EDR), le DNS et le DHCP sont tous des types de données distincts. Vous avez besoin de 4,5 Go de RAM pour collecter des données pour les trois.
Processeur : deux processeurs suffisent pour gérer moins de 10 000 événements par seconde (EPS) (total pour tous les types de données). Si vous prévoyez de transférer plus de 10 000 EPS, vous aurez besoin de quatre à six processeurs.
Disque : 20 Go d'espace disque sont requis, quelle que soit la quantité de données gérée par le transmetteur Google SecOps. Le transmetteur Google SecOps ne met pas en mémoire tampon sur le disque par défaut, mais il est recommandé d'activer la mise en mémoire tampon sur le disque. Vous pouvez mettre en mémoire tampon le disque en ajoutant les paramètres write_to_disk_buffer_enabled et write_to_disk_dir_path dans le fichier de configuration.

Exemple :
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

Plages d'adresses IP utilisées par Google

Vous pouvez avoir besoin de la plage d'adresses IP à ouvrir lorsque vous configurez un transmetteur Google SecOps, par exemple lorsque vous configurez votre pare-feu. Google ne peut pas fournir de liste d'adresses IP spécifique. Toutefois, vous pouvez obtenir les plages d'adresses IP utilisées par Google.

Vérifier la configuration du pare-feu

Si vous avez des pare-feu ou des proxys authentifiés entre le conteneur de transfert Google SecOps et Internet, ils nécessitent des règles pour autoriser l'accès aux hôtes suivants : Google Cloud

Type de connexion	Destination	Port
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	europe-west9-malachiteingestion-pa.googleapis.com	443
TCP	europe-west12-malachiteingestion-pa.googleapis.com	443
TCP	me-central1-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	southamerica-east1-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	cloud.google.com/artifact-registry	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

Pour vérifier la connectivité réseau à Google Cloud , procédez comme suit :

Démarrez Windows PowerShell avec des droits d'administrateur (cliquez sur Démarrer, tapez PowerShell, effectuez un clic droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu'administrateur).

Exécutez la commande ci-dessous. TcpTestSucceeded doit renvoyer "true".

C:\> test-netconnection <host> -port <port>

Exemple :

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Vous pouvez également utiliser le redirecteur Google SecOps pour vérifier la connectivité réseau :

Démarrez l'invite de commande avec des droits d'administrateur (cliquez sur Démarrer, saisissez Command Prompt, effectuez un clic droit sur Invite de commande, puis cliquez sur Exécuter en tant qu'administrateur).
Pour vérifier la connectivité réseau, exécutez le redirecteur Google SecOps avec l'option -test.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

Installer le redirecteur Google SecOps sur Windows

Sur Windows, l'exécutable du redirecteur Google SecOps doit être installé en tant que service.

Copiez le fichier chronicle_forwarder.exe et le fichier de configuration dans un répertoire de travail.
Démarrez l'invite de commande avec des droits d'administrateur (cliquez sur Démarrer, saisissez Command Prompt, effectuez un clic droit sur Invite de commande, puis cliquez sur Exécuter en tant qu'administrateur).
Pour installer le service, accédez au répertoire de travail que vous avez créé à l'étape 1, puis exécutez la commande suivante :
```
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
```
Remplacez FILE_NAME par le nom du fichier de configuration qui vous a été fourni.

Le service est installé dans C:\Windows\system32\ChronicleForwarder.
Pour démarrer le service, exécutez la commande suivante :
```
C:\> sc.exe start chronicle_forwarder
```

Vérifier que le transmetteur Google SecOps est en cours d'exécution

Le redirecteur Google SecOps doit disposer d'une connexion réseau ouverte sur le port 443. Vos données devraient s'afficher dans l'interface Web Google SecOps en quelques minutes.

Vous pouvez vérifier que le transmetteur Google SecOps est en cours d'exécution à l'aide de l'une des méthodes suivantes :

Gestionnaire des tâches : accédez à l'onglet Processus > Processus en arrière-plan > chronicle_forwarder.
Moniteur de ressources : dans l'onglet Réseau, l'application chronicle_forwarder.exe doit figurer sous Activité réseau (chaque fois que l'application chronicle_forwarder.exe se connecte à Google Cloud), sous "Connexions TCP" et sous "Ports d'écoute".

Afficher les journaux du transitaire

Les fichiers journaux du redirecteur Google SecOps sont stockés dans le dossier C:\Windows\Temp. Les fichiers journaux commencent par chronicle_forwarder.exe.win-forwarder. Les fichiers journaux fournissent diverses informations, y compris le moment où le transmetteur a été démarré et celui où il a commencé à envoyer des données à Google Cloud.

Désinstaller le transmetteur Google SecOps

Pour désinstaller le service de transfert Google SecOps, procédez comme suit :

Ouvrez l'invite de commande en mode administrateur.

Arrêtez le service de transfert Google SecOps :

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

Accédez au répertoire C:\Windows\system32\ChronicleForwarder et désinstallez le service de transfert Google SecOps : C:\> .\chronicle_forwarder.exe -uninstall

Mettre à niveau le transmetteur Google SecOps

Pour mettre à niveau le transmetteur Google SecOps tout en continuant à utiliser votre fichier de configuration actuel, procédez comme suit :

Ouvrez l'invite de commande en mode administrateur.
Copiez votre fichier de configuration du répertoire C:\Windows\system32\ChronicleForwarder vers un autre répertoire.
Arrêtez le transfert Google SecOps :
```
C:\> sc.exe stop chronicle_forwarder
```
Désinstallez le service et l'application de transfert Google SecOps :
```
C:\> .\chronicle_forwarder.exe --uninstall
```
Supprimez tous les fichiers du répertoire C:\windows\system32\ChronicleForwarder.
Copiez la nouvelle application chronicle_forwarder.exe et le fichier de configuration d'origine dans un répertoire de travail.

Depuis le répertoire de travail, exécutez la commande suivante :

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

Démarrez le service :
```
C:\ sc.exe start chronicle_forwarder
```

Collecter des données Splunk

Contactez l'assistance Google SecOps pour mettre à jour votre fichier de configuration de redirecteur Google SecOps afin de transférer vos données Splunk vers Google Cloud.

Collecter les données Syslog

Le redirecteur Google SecOps peut fonctionner comme un serveur syslog. Cela signifie que vous pouvez configurer n'importe quel appareil ou serveur compatible avec l'envoi de données syslog via une connexion TCP ou UDP pour qu'il transfère ses données vers le redirecteur Google SecOps. Vous pouvez contrôler précisément les données que l'appliance ou le serveur envoie au transmetteur Google SecOps, qui peut ensuite les transmettre à Google Cloud.

Le fichier de configuration du transmetteur Google SecOps spécifie les ports à surveiller pour chaque type de données transférées (par exemple, le port 10514). Par défaut, le transmetteur Google SecOps accepte les connexions TCP et UDP. Contactez l'assistance Google SecOps pour mettre à jour votre fichier de configuration du redirecteur Google SecOps afin qu'il soit compatible avec syslog.

Activer/Désactiver la compression des données

La compression des journaux réduit la consommation de bande passante réseau lors du transfert des journaux vers Google SecOps. Toutefois, la compression peut entraîner une augmentation de l'utilisation du processeur. Le compromis entre l'utilisation du processeur et la bande passante dépend de nombreux facteurs, y compris le type de données de journaux, la compressibilité de ces données, la disponibilité des cycles de processeur sur l'hôte exécutant le transmetteur et la nécessité de réduire la consommation de bande passante réseau.

Par exemple, les journaux basés sur du texte se compressent bien et peuvent permettre de réaliser des économies de bande passante importantes avec une faible utilisation du processeur. Toutefois, les charges utiles chiffrées des paquets bruts ne se compressent pas bien et entraînent une utilisation plus élevée du processeur.

Étant donné que la plupart des types de journaux ingérés par le transmetteur sont facilement compressibles, la compression des journaux est activée par défaut pour réduire la consommation de bande passante. Toutefois, si l'augmentation de l'utilisation du processeur l'emporte sur les avantages des économies de bande passante, vous pouvez désactiver la compression en définissant le champ compression sur false dans le fichier de configuration du transmetteur Google SecOps, comme indiqué dans l'exemple suivant :

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Activer TLS pour les configurations syslog

Vous pouvez activer le protocole TLS (Transport Layer Security) pour la connexion syslog au redirecteur Google SecOps. Dans le fichier de configuration du transmetteur Google SecOps, spécifiez l'emplacement de votre certificat et de la clé du certificat, comme indiqué dans l'exemple suivant :

certificat	`C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
certificate_key	`C:/opt/chronicle/external/certs/forwarder.key`

En se basant sur l'exemple présenté, la configuration du transmetteur Google SecOps serait modifiée comme suit :

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Vous pouvez créer un répertoire "certs" sous le répertoire de configuration et y stocker les fichiers de certificat.

Collecter les données de paquets

Le redirecteur Google SecOps peut capturer des paquets directement à partir d'une interface réseau à l'aide de Npcap sur les systèmes Windows.

Les paquets sont capturés et envoyés à Google Cloud au lieu des entrées de journal. La capture s'effectue uniquement à partir d'une interface locale.

Contactez l'assistance Google SecOps pour mettre à jour votre fichier de configuration du redirecteur Google SecOps afin de prendre en charge la capture de paquets.

Pour exécuter un redirecteur de capture de paquets (PCAP), vous avez besoin des éléments suivants :

Installez Npcap sur l'hôte Microsoft Windows.
Accordez des droits root ou d'administrateur au redirecteur Google SecOps pour surveiller l'interface réseau.
Aucune option de ligne de commande n'est nécessaire.
Lors de l'installation de Npcap, activez le mode de compatibilité WinPcap.

Pour configurer un redirecteur PCAP, Google Cloud a besoin du GUID de l'interface utilisée pour capturer les paquets. Exécutez getmac.exe sur la machine sur laquelle vous prévoyez d'installer le transmetteur Google SecOps (le serveur ou la machine à l'écoute sur le port de span) et envoyez le résultat à Google SecOps.

Vous pouvez également modifier le fichier de configuration. Localisez la section PCAP et remplacez la valeur GUID affichée à côté de l'interface par le GUID affiché lors de l'exécution de getmac.exe.

Par exemple, voici une section PCAP d'origine :

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Voici le résultat de l'exécution de getmac.exe :

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Enfin, voici la section PCAP révisée avec le nouveau GUID :

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Collecter des données WebProxy

Le transmetteur Google SecOps peut capturer les données WebProxy directement à partir d'une interface réseau à l'aide de Npcap et les envoyer à Google Cloud.

Pour activer la capture de données WebProxy pour votre système, contactez l'assistance Google SecOps.

Avant d'exécuter un transmetteur WebProxy, procédez comme suit :

Installez Npcap sur l'hôte Microsoft Windows. Activez le mode de compatibilité WinPcap lors de l'installation.
Accordez des droits root ou d'administrateur au redirecteur Google SecOps pour surveiller l'interface réseau.
Pour configurer un redirecteur WebProxy, Google Cloud a besoin du GUID de l'interface utilisée pour capturer les paquets WebProxy.

Exécutez getmac.exe sur la machine sur laquelle vous souhaitez installer le transmetteur Google SecOps et envoyez la sortie à Google SecOps. Vous pouvez également modifier le fichier de configuration. Recherchez la section "WebProxy" et remplacez le GUID affiché à côté de l'interface par celui qui s'affiche après l'exécution de getmac.exe.

Modifiez le fichier de configuration du redirecteur Google SecOps (FORWARDER_NAME.conf) comme suit :
```
  - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80
```

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.