Ficheiro executável do encaminhador do Google SecOps para Windows

Compatível com:

Este documento descreve como instalar e configurar o encaminhador do Google SecOps no Microsoft Windows.

Personalize os ficheiros de configuração

Com base nas informações que enviou antes da implementação, Google Cloud fornece-lhe um ficheiro executável e um ficheiro de configuração opcional para o encaminhador do Google SecOps. O ficheiro executável só deve ser executado no anfitrião para o qual foi configurado. Cada ficheiro executável inclui uma configuração específica da instância do encaminhador do Google SecOps na sua rede. Se precisar de alterar a configuração, contacte o apoio técnico do Google SecOps.

Requisitos de sistema

Seguem-se as recomendações gerais. Para recomendações específicas do seu sistema, contacte o apoio técnico do Google SecOps.

  • Versão do Windows Server: o encaminhador do Google SecOps é suportado nas seguintes versões do Microsoft Windows Server:

    • 2008 R2

    • 2012 R2

    • 2016

  • RAM: 1,5 GB para cada tipo de dados recolhidos. Por exemplo, a deteção e resposta de pontos finais (EDR), o DNS e o DHCP são todos tipos de dados separados. Precisa de 4,5 GB de RAM para recolher dados para todos os três.

  • CPU: 2 CPUs são suficientes para processar menos de 10 000 eventos por segundo (EPS) (total para todos os tipos de dados). Se espera encaminhar mais de 10 000 EPS, são necessárias 4 a 6 CPUs.

  • Disco: são necessários 20 GB de espaço em disco, independentemente da quantidade de dados que o encaminhador do Google SecOps processa. Por predefinição, o encaminhador do Google SecOps não armazena em buffer no disco, mas é recomendável ativar o armazenamento em buffer no disco. Pode colocar o disco em buffer adicionando os parâmetros write_to_disk_buffer_enabled e write_to_disk_dir_path no ficheiro de configuração.

    Por exemplo:

    - <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...

Google IP address ranges

Pode precisar do intervalo de endereços IP para abrir quando configurar uma configuração de encaminhador do Google SecOps, como quando configura a configuração para a sua firewall. Não é possível à Google fornecer uma lista específica de endereços IP. No entanto, pode obter intervalos de endereços IP da Google.

Valide a configuração da firewall

Se tiver firewalls ou proxies autenticados entre o contentor do encaminhador do Google SecOps e a Internet, estes requerem regras para permitir o acesso aos seguintes anfitriões Google Cloud :

Tipo de ligação Destino Porta
TCP malachiteingestion-pa.googleapis.com 443
TCP asia-northeast1-malachiteingestion-pa.googleapis.com 443
TCP asia-south1-malachiteingestion-pa.googleapis.com 443
TCP asia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP australia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP eu-chronicle.googleapis.com 443
TCP europe-malachiteingestion-pa.googleapis.com 443
TCP europe-west2-malachiteingestion-pa.googleapis.com 443
TCP europe-west3-malachiteingestion-pa.googleapis.com 443
TCP europe-west6-malachiteingestion-pa.googleapis.com 443
TCP europe-west9-malachiteingestion-pa.googleapis.com 443
TCP europe-west12-malachiteingestion-pa.googleapis.com 443
TCP me-central1-malachiteingestion-pa.googleapis.com 443
TCP me-central2-malachiteingestion-pa.googleapis.com 443
TCP me-west1-malachiteingestion-pa.googleapis.com 443
TCP northamerica-northeast2-malachiteingestion-pa.googleapis.com 443
TCP southamerica-east1-malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443
TCP gcr.io 443
TCP cloud.google.com/artifact-registry 443
TCP oauth2.googleapis.com 443
TCP storage.googleapis.com 443

Pode verificar a conetividade à rede Google Cloud através dos seguintes passos:

  1. Inicie o Windows PowerShell com privilégios de administrador (clique em Iniciar, escreva PowerShell, clique com o botão direito do rato em Windows PowerShell e clique em Executar como administrador).

  2. Execute o seguinte comando. TcpTestSucceeded deve devolver verdadeiro.

    C:\> test-netconnection <host> -port <port>

    Por exemplo:

    C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Também pode usar o encaminhador do Google SecOps para verificar a conetividade de rede:

  1. Inicie a Linha de comandos com privilégios de administrador (clique em Iniciar, escreva Command Prompt, clique com o botão direito do rato em Linha de comandos e clique em Executar como administrador).

  2. Para validar a conetividade de rede, execute o encaminhador do Google SecOps com a opção -test.

    C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!

Instale o encaminhador do Google SecOps no Windows

No Windows, o executável do encaminhador do Google SecOps tem de ser instalado como um serviço.

  1. Copie o ficheiro chronicle_forwarder.exe e o ficheiro de configuração para um diretório de trabalho.

  2. Inicie a Linha de comandos com privilégios de administrador (clique em Iniciar, escreva Command Prompt, clique com o botão direito do rato em Linha de comandos e clique em Executar como administrador).

  3. Para instalar o serviço, navegue para o diretório de trabalho que criou no passo 1 e execute o seguinte comando:

    C:\> .\chronicle_forwarder.exe -install -config FILE_NAME

    Substitua FILE_NAME pelo nome do ficheiro de configuração que lhe foi fornecido.

    O serviço está instalado em C:\Windows\system32\ChronicleForwarder.

  4. Para iniciar o serviço, execute o seguinte comando:

    C:\> sc.exe start chronicle_forwarder

Verifique se o encaminhador do Google SecOps está em execução

O encaminhador do Google SecOps deve ter uma ligação de rede aberta na porta 443 e os seus dados devem ser apresentados na interface Web do Google SecOps em poucos minutos.

Pode verificar se o encaminhador do Google SecOps está em execução através de qualquer um dos seguintes métodos:

  • Gestor de tarefas: navegue para o separador Processos > Processos em segundo plano > chronicle_forwarder.

  • Monitor de recursos: no separador Rede, a aplicação chronicle_forwarder.exe deve ser apresentada em Atividade de rede (sempre que a aplicação chronicle_forwarder.exe se liga a Google Cloud), em Ligações TCP e em Portas de escuta.

Veja os registos do encaminhador

Os ficheiros de registo do encaminhador do Google SecOps são armazenados na pasta C:\Windows\Temp. Os ficheiros de registo começam com chronicle_forwarder.exe.win-forwarder. Os ficheiros de registo fornecem várias informações, incluindo quando o encaminhador foi iniciado e quando começou a enviar dados para o Google Cloud.

Desinstale o encaminhador do Google SecOps

Para desinstalar o serviço de encaminhamento do Google SecOps, conclua os seguintes passos:

  1. Abra a Linha de comandos no modo de administrador.

  2. Pare o serviço de encaminhamento do Google SecOps:

    SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

  3. Navegue para o diretório C:\Windows\system32\ChronicleForwarder e desinstale o serviço de encaminhamento do Google SecOps: C:\> .\chronicle_forwarder.exe -uninstall

Atualize o encaminhador do Google SecOps

Para atualizar o encaminhador do Google SecOps enquanto continua a usar o seu ficheiro de configuração atual, conclua os seguintes passos:

  1. Abra a Linha de comandos no modo de administrador.

  2. Copie o ficheiro de configuração do diretório C:\Windows\system32\ChronicleForwarder para outro diretório.

  3. Pare o encaminhador do Google SecOps:

    C:\> sc.exe stop chronicle_forwarder

  4. Desinstale o serviço e a aplicação do encaminhador do Google SecOps:

    C:\> .\chronicle_forwarder.exe --uninstall

  5. Elimine todos os ficheiros no diretório C:\windows\system32\ChronicleForwarder.

  6. Copie a nova aplicação chronicle_forwarder.exe e o ficheiro de configuração original para um diretório de trabalho.

  7. No diretório de trabalho, execute o seguinte comando:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

  8. Inicie o serviço:

    C:\ sc.exe start chronicle_forwarder

Recolha dados do Splunk

Contacte o apoio técnico do Google SecOps para atualizar o ficheiro de configuração do encaminhador do Google SecOps de modo a encaminhar os seus dados do Splunk para Google Cloud.

Recolha dados de syslog

O encaminhador do Google SecOps pode funcionar como um servidor syslog, o que significa que pode configurar qualquer dispositivo ou servidor que suporte o envio de dados syslog através de uma ligação TCP ou UDP para encaminhar os respetivos dados para o encaminhador do Google SecOps. Pode controlar exatamente que dados o dispositivo ou o servidor envia para o encaminhador do Google SecOps, que pode, em seguida, encaminhar os dados para Google Cloud.

O ficheiro de configuração do encaminhador do Google SecOps especifica as portas a monitorizar para cada tipo de dados encaminhados (por exemplo, a porta 10514). Por predefinição, o encaminhador do Google SecOps aceita ligações TCP e UDP. Contacte o apoio técnico do Google SecOps para atualizar o ficheiro de configuração do encaminhador do Google SecOps de modo a suportar o syslog.

Ativar/desativar compressão de dados

A compressão de registos reduz o consumo de largura de banda da rede quando transfere registos para o Google SecOps. No entanto, a compressão pode provocar um aumento na utilização da CPU. A compensação entre a utilização da CPU e a largura de banda depende de muitos fatores, incluindo o tipo de dados de registo, a compressibilidade desses dados, a disponibilidade de ciclos da CPU no anfitrião que executa o encaminhador e a necessidade de reduzir o consumo de largura de banda da rede.

Por exemplo, os registos baseados em texto são bem comprimidos e podem proporcionar poupanças substanciais de largura de banda com uma utilização baixa da CPU. No entanto, as cargas úteis encriptadas de pacotes não processados não são bem comprimidas e incorrem num maior consumo da CPU.

Uma vez que a maioria dos tipos de registos carregados pelo encaminhador são comprimíveis de forma eficiente, a compressão de registos está ativada por predefinição para reduzir o consumo de largura de banda. No entanto, se o aumento da utilização da CPU compensar a vantagem da poupança de largura de banda, pode desativar a compressão definindo o campo compression como false no ficheiro de configuração do encaminhador do Google SecOps, conforme mostrado no exemplo seguinte:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Ative o TLS para configurações de syslog

Pode ativar o Transport Layer Security (TLS) para a ligação syslog ao encaminhador do Google SecOps. No ficheiro de configuração do encaminhador do Google SecOps, especifique a localização do certificado e da chave do certificado, conforme mostrado no exemplo seguinte:

certificado C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem
certificate_key C:/opt/chronicle/external/certs/forwarder.key

Com base no exemplo apresentado, a configuração do encaminhador do Google SecOps seria modificada da seguinte forma:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Pode criar um diretório certs no diretório de configuração e armazenar aí os ficheiros de certificado.

Recolha dados de pacotes

O encaminhador do Google SecOps pode capturar pacotes diretamente a partir de uma interface de rede através do Npcap em sistemas Windows.

Os pacotes são capturados e enviados para Google Cloud em vez de entradas de registo. A captura é feita apenas a partir de uma interface local.

Contacte o apoio técnico do Google SecOps para atualizar o ficheiro de configuração do encaminhador do Google SecOps de modo a suportar a captura de pacotes.

Para executar um encaminhador de captura de pacotes (PCAP), precisa do seguinte:

  • Instale o Npcap no anfitrião do Microsoft Windows.

  • Conceda privilégios de administrador ou raiz ao encaminhador do Google SecOps para monitorizar a interface de rede.

  • Não são necessárias opções de linha de comandos.

  • Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.

Para configurar um encaminhador PCAP, Google Cloud precisa do GUID da interface usada para capturar pacotes. Execute getmac.exe na máquina onde planeia instalar o encaminhador do Google SecOps (o servidor ou a máquina que está a ouvir na porta de intervalo) e envie o resultado para o Google SecOps.

Em alternativa, pode modificar o ficheiro de configuração. Localize a secção PCAP e substitua o valor GUID apresentado junto à interface pelo GUID apresentado na execução de getmac.exe.

Por exemplo, segue-se uma secção PCAP original:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Segue-se o resultado da execução de getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Por último, aqui está a secção PCAP revista com o novo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Recolha dados de proxy Web

O encaminhador do Google SecOps pode capturar dados do WebProxy diretamente de uma interface de rede através do Npcap e enviá-los para o Google Cloud.

Para ativar a captura de dados do WebProxy para o seu sistema, contacte o apoio técnico do Google SecOps.

Antes de executar um encaminhador WebProxy, faça o seguinte:

  1. Instale o Npcap no anfitrião do Microsoft Windows. Ative o modo de compatibilidade do WinPcap durante a instalação.

  2. Conceda privilégios de administrador ou raiz ao encaminhador do Google SecOps para monitorizar a interface de rede.

  3. Para configurar um encaminhador WebProxy, Google Cloud precisa do GUID da interface usada para capturar os pacotes WebProxy.

    Execute getmac.exe na máquina onde quer instalar o encaminhador do Google SecOps e envie o resultado para o Google SecOps. Em alternativa, pode modificar o ficheiro de configuração. Localize a secção WebProxy e substitua o GUID apresentado junto à interface pelo GUID apresentado após a execução de getmac.exe.

    Modifique o ficheiro de configuração do encaminhador do Google SecOps (FORWARDER_NAME.conf) da seguinte forma:

      - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.