File yang dapat dieksekusi penerusan Google SecOps untuk Windows
Dokumen ini menjelaskan cara menginstal dan mengonfigurasi penerus Google SecOps di Microsoft Windows.
Menyesuaikan file konfigurasi
Berdasarkan informasi yang Anda kirimkan sebelum deployment, Google Cloud memberi Anda file yang dapat dieksekusi dan file konfigurasi opsional untuk pengirim Google SecOps. File yang dapat dieksekusi hanya boleh dijalankan di host yang dikonfigurasi untuknya. Setiap file yang dapat dieksekusi mencakup konfigurasi khusus untuk instance penerusan Google SecOps di jaringan Anda. Jika Anda perlu mengubah konfigurasi, hubungi Dukungan Google SecOps.
Persyaratan sistem
Berikut adalah rekomendasi umum. Untuk mendapatkan rekomendasi khusus terkait sistem Anda, hubungi Dukungan Google SecOps.
Versi Windows Server: Penerusan SecOps Google didukung di versi Microsoft Windows Server berikut:
2008 R2
2012 R2
2016
RAM: 1,5 GB untuk setiap jenis data yang dikumpulkan. Misalnya, deteksi dan respons endpoint (EDR), DNS, dan DHCP adalah jenis data yang terpisah. Anda memerlukan RAM 4,5 GB untuk mengumpulkan data bagi ketiganya.
CPU: 2 CPU sudah cukup untuk menangani kurang dari 10.000 peristiwa per detik (EPS) (total untuk semua jenis data). Jika Anda berencana meneruskan lebih dari 10.000 EPS, diperlukan 4 hingga 6 CPU.
Disk: Diperlukan ruang disk sebesar 20 GB, terlepas dari jumlah data yang ditangani penerus Google SecOps. Forwarder Google SecOps tidak melakukan buffering ke disk secara default, tetapi sebaiknya aktifkan buffering disk. Anda dapat melakukan buffering disk dengan menambahkan parameter
write_to_disk_buffer_enableddanwrite_to_disk_dir_pathdalam file konfigurasi.Contoh:
- <collector>: common: ... write_to_disk_buffer_enabled: true write_to_disk_dir_path: <var>your_path</var> ...
Rentang alamat IP Google
Anda mungkin memerlukan rentang alamat IP yang akan dibuka saat menyiapkan konfigurasi penerusan Google SecOps, seperti saat menyiapkan konfigurasi untuk firewall Anda. Google tidak dapat memberikan daftar alamat IP tertentu. Namun, Anda dapat mendapatkan rentang alamat IP Google.
Memverifikasi konfigurasi firewall
Jika Anda memiliki firewall atau proxy yang diautentikasi di antara pengekspor Google SecOps dan internet, firewall atau proxy tersebut memerlukan aturan untuk mengizinkan akses ke host berikut: Google Cloud
| Jenis Koneksi | Tujuan | Port |
| TCP | malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-northeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-south1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | australia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west3-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west6-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west9-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west12-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-central1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-central2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-west1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | northamerica-northeast2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | southamerica-east1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | accounts.google.com | 443 |
| TCP | gcr.io | 443 |
| TCP | cloud.google.com/artifact-registry | 443 |
| TCP | oauth2.googleapis.com | 443 |
| TCP | storage.googleapis.com | 443 |
Anda dapat memeriksa konektivitas jaringan ke Google Cloud menggunakan langkah-langkah berikut:
Mulai Windows PowerShell dengan hak istimewa Administrator (Klik Start, ketik
PowerShell, klik kanan Windows PowerShell, lalu klik Run as administrator).Jalankan perintah berikut.
TcpTestSucceededharus menampilkan benar (true).C:\> test-netconnection <host> -port <port>Contoh:
C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443 ComputerName : malchiteingestion-pa.googleapis.com RemoteAddress : 198.51.100.202 RemotePort : 443 InterfaceAlias : Ethernet SourceAddress : 10.168.0.2 TcpTestSucceeded : True
Anda juga dapat menggunakan penerusan Google SecOps untuk memeriksa konektivitas jaringan:
Mulai Command Prompt dengan hak istimewa administrator (Klik Start, ketik
Command Prompt, klik kanan Command Prompt, lalu klik Run as Administrator).Untuk memverifikasi konektivitas jaringan, jalankan penerus Google SecOps dengan opsi
-test.C:\> .\chronicle_forwarder.exe -test Verify network connection succeeded!
Menginstal penerus Google SecOps di Windows
Di Windows, file yang dapat dieksekusi penerusan Google SecOps harus diinstal sebagai layanan.
Salin file
chronicle_forwarder.exedan file konfigurasi ke direktori kerja.Mulai Command Prompt dengan hak istimewa administrator (Klik Start, ketik
Command Prompt, klik kanan Command Prompt, lalu klik Run as Administrator).Untuk menginstal layanan, buka direktori kerja yang Anda buat di langkah 1 dan jalankan perintah berikut:
C:\> .\chronicle_forwarder.exe -install -config FILE_NAMEGanti
FILE_NAMEdengan nama file konfigurasi yang diberikan kepada Anda.Layanan diinstal ke
C:\Windows\system32\ChronicleForwarder.Untuk memulai layanan, jalankan perintah berikut:
C:\> sc.exe start chronicle_forwarder
Memastikan bahwa penerus Google SecOps sedang berjalan
Forwarder Google SecOps harus memiliki koneksi jaringan yang terbuka di port 443 dan data Anda akan ditampilkan di antarmuka web Google SecOps dalam beberapa menit.
Anda dapat memverifikasi bahwa penerus Google SecOps sedang berjalan menggunakan salah satu metode berikut:
Task Manager: Buka tab Processes > Background processes > chronicle_forwarder.
Monitor Resource: Di tab Network, aplikasi
chronicle_forwarder.exeharus tercantum di bagian Network Activity (setiap kali aplikasichronicle_forwarder.exeterhubung ke Google Cloud), di bagian TCP Connections, dan di bagian Listening Ports.
Melihat log penerusan
File log penerusan Google SecOps disimpan di folder C:\Windows\Temp. File log dimulai dengan chronicle_forwarder.exe.win-forwarder.
File log memberikan berbagai informasi, termasuk waktu forwarder dimulai dan waktu forwarder mulai mengirimkan data ke Google Cloud.
Meng-uninstal penerusan Google SecOps
Untuk meng-uninstal layanan penerusan Google SecOps, selesaikan langkah-langkah berikut:
Buka Command Prompt dalam mode administrator.
Hentikan layanan penerusan Google SecOps:
SERVICE_NAME: chronicle_forwarder TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0Buka direktori
C:\Windows\system32\ChronicleForwarderdan uninstal layanan penerusan Google SecOps:C:\> .\chronicle_forwarder.exe -uninstall
Mengupgrade penerus Google SecOps
Untuk mengupgrade penerus Google SecOps sambil terus menggunakan file konfigurasi saat ini, selesaikan langkah-langkah berikut:
Buka Command Prompt dalam mode administrator.
Salin file konfigurasi Anda dari direktori
C:\Windows\system32\ChronicleForwarderke direktori lain.Hentikan penerus Google SecOps:
C:\> sc.exe stop chronicle_forwarderUninstal layanan dan aplikasi penerusan Google SecOps:
C:\> .\chronicle_forwarder.exe --uninstallHapus semua file di direktori
C:\windows\system32\ChronicleForwarder.Salin aplikasi
chronicle_forwarder.exebaru dan file konfigurasi asli ke direktori kerja.Dari direktori kerja, jalankan perintah berikut:
C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYouMulai layanan:
C:\ sc.exe start chronicle_forwarder
Mengumpulkan data Splunk
Hubungi Dukungan Google SecOps untuk memperbarui file konfigurasi penerusan Google SecOps Anda agar meneruskan data Splunk Anda ke Google Cloud.
Mengumpulkan data syslog
Forwarder Google SecOps dapat beroperasi sebagai server syslog, yang berarti Anda dapat mengonfigurasi perangkat atau server apa pun yang mendukung pengiriman data syslog melalui koneksi TCP atau UDP untuk meneruskan datanya ke forwarder Google SecOps. Anda dapat mengontrol secara persis data yang dikirim oleh perangkat atau server ke penerus Google SecOps yang kemudian dapat meneruskan data tersebut ke Google Cloud.
File konfigurasi penerusan Google SecOps menentukan port yang akan dipantau untuk setiap jenis data yang diteruskan (misalnya, port 10514). Secara default, penerus Google SecOps menerima koneksi TCP dan UDP. Hubungi Dukungan Google SecOps untuk memperbarui file konfigurasi penerus Google SecOps Anda agar mendukung syslog.
Mengalihkan kompresi data
Kompresi log mengurangi konsumsi bandwidth jaringan saat mentransfer log ke Google SecOps. Namun, kompresi dapat menyebabkan peningkatan penggunaan CPU. Perbandingan antara penggunaan CPU dan bandwidth bergantung pada banyak faktor, termasuk jenis data log, kemampuan kompresi data tersebut, ketersediaan siklus CPU di host yang menjalankan penerusan, dan kebutuhan untuk mengurangi konsumsi bandwidth jaringan.
Misalnya, log berbasis teks dikompresi dengan baik dan dapat memberikan penghematan bandwidth yang substansial dengan penggunaan CPU yang rendah. Namun, payload terenkripsi dari paket mentah tidak dikompresi dengan baik dan menyebabkan penggunaan CPU yang lebih tinggi.
Karena sebagian besar jenis log yang diproses oleh penerus dapat dikompresi secara efisien, kompresi log diaktifkan secara default untuk mengurangi penggunaan bandwidth. Namun, jika peningkatan penggunaan CPU lebih besar daripada manfaat penghematan bandwidth, Anda dapat menonaktifkan kompresi dengan menyetel kolom compression ke false dalam file konfigurasi penerusan Google SecOps seperti yang ditunjukkan dalam contoh berikut:
compression: false
url: malachiteingestion-pa.googleapis.com:443
identity:
identity:
collector_id: 10479925-878c-11e7-9421-10604b7abba1
customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
secret_key: |
{
"type": "service_account",
...
Mengaktifkan TLS untuk konfigurasi syslog
Anda dapat mengaktifkan Transport Layer Security (TLS) untuk koneksi syslog ke penerus Google SecOps. Dalam file konfigurasi penerusan Google SecOps, tentukan lokasi sertifikat dan kunci sertifikat Anda seperti yang ditunjukkan dalam contoh berikut:
| sertifikat | C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem |
| certificate_key | C:/opt/chronicle/external/certs/forwarder.key |
Berdasarkan contoh yang ditampilkan, konfigurasi penerusan Google SecOps akan
diubah sebagai berikut:
collectors:
- syslog:
common:
enabled: true
data_type: WINDOWS_DNS
data_hint:
batch_n_seconds: 10
batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10515
connection_timeout_sec: 60
certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"
Anda dapat membuat direktori certs di direktori konfigurasi dan menyimpan file sertifikat di sana.
Mengumpulkan data paket
Forwarder SecOps Google dapat mengambil paket langsung dari antarmuka jaringan menggunakan Npcap di sistem Windows.
Paket diambil dan dikirim ke Google Cloud , bukan entri log. Pengambilan dilakukan hanya dari antarmuka lokal.
Hubungi Dukungan Google SecOps untuk memperbarui file konfigurasi penerusan Google SecOps Anda agar mendukung pengambilan paket.
Untuk menjalankan penerusan Packet Capture (PCAP), Anda memerlukan hal berikut:
Instal Npcap di host Microsoft Windows.
Beri penerus Google SecOps hak istimewa administrator atau root untuk memantau antarmuka jaringan.
Tidak ada opsi command line yang diperlukan.
Pada penginstalan Npcap, aktifkan mode kompatibilitas WinPcap.
Untuk mengonfigurasi penerusan PCAP, Google Cloud memerlukan GUID untuk antarmuka yang digunakan untuk merekam paket.
Jalankan getmac.exe di komputer tempat Anda berencana menginstal penerusan Google SecOps
(baik server maupun komputer yang memantau port span) dan kirim output ke Google SecOps.
Atau, Anda dapat mengubah file konfigurasi. Temukan bagian PCAP dan ganti nilai GUID yang ditampilkan di samping antarmuka dengan GUID yang ditampilkan dari menjalankan getmac.exe.
Misalnya, berikut adalah bagian PCAP asli:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
bpf: udp port 53
Berikut adalah output dari menjalankan getmac.exe:
C:\>getmac.exe
Physical Address Transport Name
===========================================================================
A4-73-9F-ED-E1-82 \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}
Terakhir, berikut adalah bagian PCAP yang direvisi dengan GUID baru:
- pcap:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
bpf: udp port 53
Mengumpulkan data WebProxy
Forwarder Google SecOps dapat mengambil data WebProxy langsung dari antarmuka jaringan menggunakan Npcap dan mengirimkannya ke Google Cloud.
Untuk mengaktifkan pengambilan data WebProxy untuk sistem Anda, hubungi Dukungan Google SecOps.
Sebelum menjalankan penerusan WebProxy, lakukan langkah berikut:
Instal Npcap di host Microsoft Windows. Aktifkan mode kompatibilitas WinPcap selama penginstalan.
Memberikan hak istimewa root atau administrator ke penerus Google SecOps untuk memantau antarmuka jaringan.
Untuk mengonfigurasi penerusan WebProxy, Google Cloud memerlukan GUID untuk antarmuka yang digunakan untuk merekam paket WebProxy.
Jalankan
getmac.exedi komputer tempat Anda ingin menginstal penerus Google SecOps dan mengirim output ke Google SecOps. Atau, Anda dapat mengubah file konfigurasi. Cari bagian WebProxy dan ganti GUID yang ditampilkan di samping antarmuka dengan GUID yang ditampilkan setelah menjalankangetmac.exe.Ubah file konfigurasi penerus Google SecOps (
FORWARDER_NAME.conf) sebagai berikut:- webproxy: common: enabled : true data_type: <Your LogType> batch_n_seconds: 10 batch_n_bytes: 1048576 interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734} bpf: tcp and dst port 80
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.