File eseguibile del forwarder Google SecOps per Windows

Questo documento descrive come installare e configurare il forwarder Google SecOps su Microsoft Windows.

Personalizza i file di configurazione

In base alle informazioni che hai inviato prima dell'implementazione, Google Cloud ti fornisce un file eseguibile e un file di configurazione facoltativo per il forwarder Google SecOps. Il file eseguibile deve essere eseguito solo sull'host per cui è stato configurato. Ogni file eseguibile include una configurazione specifica per l'istanza di inoltro di Google SecOps sulla tua rete. Se devi modificare la configurazione, contatta l'assistenza di Google SecOps.

Requisiti di sistema

Di seguito sono riportati alcuni consigli generali. Per consigli specifici per il tuo sistema, contatta l'assistenza di Google SecOps.

• Versione di Windows Server: il forwarder Google SecOps è supportato nelle seguenti versioni di Microsoft Windows Server:

  • 2008 R2

  • 2012 R2

  • 2016

• RAM: 1,5 GB per ogni tipo di dati raccolti. Ad esempio, il rilevamento e la risposta degli endpoint (EDR), il DNS e il DHCP sono tutti tipi di dati separati. Per raccogliere i dati per tutti e tre, sono necessari 4,5 GB di RAM.

• CPU: 2 CPU sono sufficienti per gestire meno di 10.000 eventi al secondo (EPS) (totale per tutti i tipi di dati). Se prevedi di inoltrare più di 10.000 EPS, sono necessarie da 4 a 6 CPU.

• Disco: sono necessari 20 GB di spazio su disco, indipendentemente dalla quantità di dati gestiti dal forwarder Google SecOps. Per impostazione predefinita, il forwarder Google SecOps non esegue il buffering su disco, ma è consigliabile attivarlo. Puoi memorizzare il disco nel buffer aggiungendo i parametri write_to_disk_buffer_enabled e write_to_disk_dir_path nel file di configurazione.

  Ad esempio:

  - <collector>:
       common:
           ...
           write_to_disk_buffer_enabled: true
           write_to_disk_dir_path: <var>your_path</var>
           ...
  

Intervalli di indirizzi IP di Google

Potresti aver bisogno dell'intervallo di indirizzi IP da aprire quando configuri un forwarder Google SecOps, ad esempio quando configuri il firewall. Google non può fornire un elenco specifico di indirizzi IP. Tuttavia, puoi ottenere gli intervalli di indirizzi IP di Google.

Verificare la configurazione del firewall

Se hai firewall o proxy autenticati tra il container forwarder Google SecOps e internet, questi richiedono regole per consentire l'accesso ai seguenti host Google Cloud :

Per verificare la connettività di rete a Google Cloud :

1. Avvia Windows PowerShell con privilegi di amministratore (fai clic su Start, digita PowerShell, fai clic con il tasto destro del mouse su Windows PowerShell e poi su Esegui come amministratore).

2. Esegui questo comando. TcpTestSucceeded deve restituire true.

   C:\> test-netconnection <host> -port <port>

   Ad esempio:

   C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
   ComputerName     : malchiteingestion-pa.googleapis.com
   RemoteAddress    : 198.51.100.202
   RemotePort       : 443
   InterfaceAlias   : Ethernet
   SourceAddress    : 10.168.0.2
   TcpTestSucceeded : True
   

Puoi anche utilizzare il programma di inoltro Google SecOps per verificare la connettività di rete:

1. Avvia il prompt dei comandi con privilegi di amministratore (fai clic su Start, digita Command Prompt, fai clic con il tasto destro del mouse su Prompt dei comandi e fai clic su Esegui come amministratore).

2. Per verificare la connettività di rete, esegui il forwarder Google SecOps con l'opzione -test.

   C:\> .\chronicle_forwarder.exe -test
   Verify network connection succeeded!
   

Installare il forwarder Google SecOps su Windows

Su Windows, il file eseguibile del forwarder Google SecOps deve essere installato come servizio.

1. Copia il file chronicle_forwarder.exe e il file di configurazione in una directory di lavoro.

2. Avvia il prompt dei comandi con privilegi di amministratore (fai clic su Start, digita Command Prompt, fai clic con il tasto destro del mouse su Prompt dei comandi e fai clic su Esegui come amministratore).

3. Per installare il servizio, vai alla directory di lavoro creata nel passaggio 1 ed esegui questo comando:

   C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
   

   Sostituisci FILE_NAME con il nome del file di configurazione che ti è stato fornito.

   Il servizio viene installato in C:\Windows\system32\ChronicleForwarder.

4. Per avviare il servizio, esegui questo comando:

   C:\> sc.exe start chronicle_forwarder
   

Verifica che il forwarder Google SecOps sia in esecuzione

Il forwarder Google SecOps deve avere una connessione di rete aperta sulla porta 443 e i tuoi dati devono essere visualizzati nell'interfaccia web di Google SecOps entro pochi minuti.

Puoi verificare che il programma di inoltro Google SecOps sia in esecuzione utilizzando uno dei seguenti metodi:

• Gestione attività: vai alla scheda Processi > Processi in background > chronicle_forwarder.

• Monitoraggio risorse: nella scheda Rete, l'applicazione chronicle_forwarder.exe dovrebbe essere elencata in Attività di rete (ogni volta che l'applicazione chronicle_forwarder.exe si connette a Google Cloud), in Connessioni TCP e in Porte di ascolto.

Visualizza i log del programma di inoltro

I file di log del forwarder Google SecOps vengono archiviati nella cartella C:\Windows\Temp. I file di log iniziano con chronicle_forwarder.exe.win-forwarder. I file di log forniscono una serie di informazioni, tra cui quando è stato avviato il forwarder e quando ha iniziato a inviare dati a Google Cloud.

Disinstalla il programma di inoltro Google SecOps

Per disinstallare il servizio di inoltro Google SecOps, completa i seguenti passaggi:

1. Apri il prompt dei comandi in modalità amministratore.

2. Arresta il servizio di inoltro di Google SecOps:

   SERVICE_NAME: chronicle_forwarder
   TYPE               : 10  WIN32_OWN_PROCESS
   STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
   WIN32_EXIT_CODE    : 0  (0x0)
   SERVICE_EXIT_CODE  : 0  (0x0)
   CHECKPOINT         : 0x0
   WAIT_HINT          : 0x0
   

3. Vai alla directory C:\Windows\system32\ChronicleForwarder e disinstalla il servizio di inoltro Google SecOps: C:\> .\chronicle_forwarder.exe -uninstall

Esegui l'upgrade del forwarder Google SecOps

Per eseguire l'upgrade del forwarder Google SecOps continuando a utilizzare il file di configurazione corrente, completa i seguenti passaggi:

1. Apri il prompt dei comandi in modalità amministratore.

2. Copia il file di configurazione dalla directory C:\Windows\system32\ChronicleForwarder a un'altra directory.

3. Arresta il programma di inoltro Google SecOps:

   C:\> sc.exe stop chronicle_forwarder
   

4. Disinstalla il servizio e l'applicazione di inoltro di Google SecOps:

   C:\> .\chronicle_forwarder.exe --uninstall
   

5. Elimina tutti i file nella directory C:\windows\system32\ChronicleForwarder.

6. Copia la nuova applicazione chronicle_forwarder.exe e il file di configurazione originale in una directory di lavoro.

7. Dalla directory di lavoro, esegui questo comando:

   C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
   

8. Avvia il servizio:

   C:\ sc.exe start chronicle_forwarder
   

Raccogliere i dati Splunk

Contatta l'assistenza di Google SecOps per aggiornare il file di configurazione del forwarder Google SecOps in modo da inoltrare i dati Splunk a Google Cloud.

Raccogliere i dati syslog

Il forwarder Google SecOps può funzionare come server syslog, il che significa che puoi configurare qualsiasi appliance o server che supporti l'invio di dati syslog tramite una connessione TCP o UDP per inoltrare i dati al forwarder Google SecOps. Puoi controllare esattamente quali dati l'appliance o il server invia al forwarder Google SecOps, che a sua volta può inoltrarli a Google Cloud.

Il file di configurazione del forwarder Google SecOps specifica le porte da monitorare per ogni tipo di dati inoltrati (ad esempio, la porta 10514). Per impostazione predefinita, il forwarder Google SecOps accetta connessioni TCP e UDP. Contatta l'assistenza Google SecOps per aggiornare il file di configurazione del forwarder Google SecOps in modo da supportare syslog.

Attiva/disattiva la compressione dei dati

La compressione dei log riduce il consumo di larghezza di banda di rete durante il trasferimento dei log a Google SecOps. Tuttavia, la compressione potrebbe causare un aumento dell'utilizzo della CPU. Il compromesso tra l'utilizzo della CPU e la larghezza di banda dipende da molti fattori, tra cui il tipo di dati di log, la comprimibilità di questi dati, la disponibilità di cicli della CPU sull'host che esegue il forwarder e la necessità di ridurre il consumo di larghezza di banda della rete.

Ad esempio, i log basati su testo vengono compressi bene e possono consentire un notevole risparmio di larghezza di banda con un basso utilizzo della CPU. Tuttavia, i payload criptati dei pacchetti non vengono compressi bene e comportano un maggiore utilizzo della CPU.

Poiché la maggior parte dei tipi di log inseriti dall'agente di inoltro sono comprimibili in modo efficiente, la compressione dei log è attivata per impostazione predefinita per ridurre il consumo di larghezza di banda. Tuttavia, se l'aumento dell'utilizzo della CPU supera il vantaggio del risparmio di larghezza di banda, puoi disattivare la compressione impostando il campo compression su false nel file di configurazione del forwarder Google SecOps come mostrato nell'esempio seguente:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Attiva TLS per le configurazioni syslog

Puoi abilitare Transport Layer Security (TLS) per la connessione syslog al forwarder Google SecOps. Nel file di configurazione del forwarder Google SecOps, specifica la posizione del certificato e della chiave del certificato come mostrato nel seguente esempio:

In base all'esempio mostrato, la configurazione del forwarder Google SecOps verrebbe modificata come segue:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Puoi creare una directory certs nella directory di configurazione e archiviarvi i file dei certificati.

Raccogliere dati dei pacchetti

Il forwarder Google SecOps può acquisire pacchetti direttamente da un'interfaccia di rete utilizzando Npcap sui sistemi Windows.

I pacchetti vengono acquisiti e inviati a Google Cloud anziché alle voci di log. L'acquisizione viene eseguita solo da un'interfaccia locale.

Contatta l'assistenza Google SecOps per aggiornare il file di configurazione del forwarder Google SecOps in modo da supportare l'acquisizione di pacchetti.

Per eseguire un forwarder di acquisizione pacchetti (PCAP), devi disporre di quanto segue:

• Installa Npcap sull'host Microsoft Windows.

• Concedi i privilegi di amministratore o root al forwarder Google SecOps per monitorare l'interfaccia di rete.

• Non sono necessarie opzioni della riga di comando.

• Durante l'installazione di Npcap, attiva la modalità di compatibilità WinPcap.

Per configurare un forwarder PCAP, Google Cloud ha bisogno del GUID dell'interfaccia utilizzata per acquisire i pacchetti. Esegui getmac.exe sulla macchina in cui prevedi di installare il forwarder Google SecOps (il server o la macchina in ascolto sulla porta span) e invia l'output a Google SecOps.

In alternativa, puoi modificare il file di configurazione. Individua la sezione PCAP e sostituisci il valore GUID mostrato accanto all'interfaccia con il GUID visualizzato dall'esecuzione di getmac.exe.

Ad esempio, ecco una sezione PCAP originale:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Ecco l'output dell'esecuzione di getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Infine, ecco la sezione PCAP rivista con il nuovo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Raccogliere i dati di WebProxy

Il forwarder Google SecOps può acquisire i dati di WebProxy direttamente da un'interfaccia di rete utilizzando Npcap e inviarli a Google Cloud.

Per attivare l'acquisizione dei dati WebProxy per il tuo sistema, contatta l'assistenza Google SecOps.

Prima di eseguire un forwarder WebProxy:

1. Installa Npcap sull'host Microsoft Windows. Attiva la modalità di compatibilità WinPcap durante l'installazione.

2. Concedi privilegi di root o amministratore al forwarder Google SecOps per monitorare l'interfaccia di rete.

3. Per configurare un forwarder WebProxy, Google Cloud è necessario il GUID dell'interfaccia utilizzata per acquisire i pacchetti WebProxy.

   Esegui getmac.exe sulla macchina in cui vuoi installare il forwarder Google SecOps e invia l'output a Google SecOps. In alternativa, puoi modificare il file di configurazione. Individua la sezione WebProxy e sostituisci il GUID mostrato accanto all'interfaccia con il GUID visualizzato dopo l'esecuzione di getmac.exe.

   Modifica il file di configurazione dell'agente di inoltro Google SecOps (FORWARDER_NAME.conf) come segue:

     - webproxy:
       common:
           enabled : true
           data_type: <Your LogType>
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
         bpf: tcp and dst port 80
   

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.