Executável do encaminhador do Google SecOps para Windows

Compatível com:

Este documento descreve como instalar e configurar o encaminhador do Google SecOps no Microsoft Windows.

Personalizar os arquivos de configuração

Com base nas informações enviadas antes da implantação,o Google Cloud fornece um arquivo executável e um arquivo de configuração opcional para o encaminhador do Google SecOps. O arquivo executável só pode ser executado no host para o qual foi configurado. Cada arquivo executável inclui uma configuração específica da instância de encaminhador do Google SecOps na sua rede. Se precisar alterar a configuração, entre em contato com o suporte do Google SecOps.

Requisitos do sistema

Confira algumas recomendações gerais. Para recomendações específicas ao seu sistema, entre em contato com o suporte do Google SecOps.

  • Versão do Windows Server: o encaminhador do Google SecOps é compatível com as seguintes versões do Microsoft Windows Server:

    • 2008 R2

    • 2012 R2

    • 2016

  • RAM: 1,5 GB para cada tipo de dado coletado. Por exemplo, detecção e resposta de endpoints (EDR), DNS e DHCP são todos tipos de dados separados. Você precisa de 4,5 GB de RAM para coletar dados para todos os três.

  • CPU: duas CPUs são suficientes para processar menos de 10.000 eventos por segundo (EPS,na sigla em inglês) (total para todos os tipos de dados). Se você espera encaminhar mais de 10.000 EPS, são necessárias de quatro a seis CPUs.

  • Disco: são necessários 20 GB de espaço em disco, independente da quantidade de dados que o encaminhador do Google SecOps processa. Por padrão, o encaminhador do Google SecOps não faz buffer para o disco, mas é recomendável ativar o buffer de disco. É possível fazer o buffer do disco adicionando parâmetros write_to_disk_buffer_enabled e write_to_disk_dir_path ao arquivo de configuração.

    Exemplo:

    - <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...

Intervalos de endereços IP do Google

Talvez seja necessário abrir o intervalo de endereços IP ao configurar um encaminhador do Google SecOps, como ao definir a configuração do firewall. Não é possível para o Google fornecer uma lista específica de endereços IP. No entanto, é possível acessar intervalos de endereços IP do Google.

Verificar a configuração do firewall

Se você tiver firewalls ou proxies autenticados entre o contêiner de encaminhamento do Google SecOps e a Internet, eles vão exigir regras para permitir o acesso aos seguintes hosts Google Cloud :

Tipo de conexão Destino Port
TCP malachiteingestion-pa.googleapis.com 443
TCP asia-northeast1-malachiteingestion-pa.googleapis.com 443
TCP asia-south1-malachiteingestion-pa.googleapis.com 443
TCP asia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP australia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP europe-malachiteingestion-pa.googleapis.com 443
TCP europe-west2-malachiteingestion-pa.googleapis.com 443
TCP europe-west3-malachiteingestion-pa.googleapis.com 443
TCP europe-west6-malachiteingestion-pa.googleapis.com 443
TCP europe-west9-malachiteingestion-pa.googleapis.com 443
TCP europe-west12-malachiteingestion-pa.googleapis.com 443
TCP me-central1-malachiteingestion-pa.googleapis.com 443
TCP me-central2-malachiteingestion-pa.googleapis.com 443
TCP me-west1-malachiteingestion-pa.googleapis.com 443
TCP northamerica-northeast2-malachiteingestion-pa.googleapis.com 443
TCP southamerica-east1-malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443
TCP gcr.io 443
TCP cloud.google.com/artifact-registry 443
TCP oauth2.googleapis.com 443
TCP storage.googleapis.com 443

Para verificar a conectividade de rede com Google Cloud , siga estas etapas:

  1. Inicie o Windows PowerShell com privilégios de administrador. Para isso, clique em Iniciar, digite PowerShell, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como administrador.

  2. Execute o comando a seguir. TcpTestSucceeded precisa retornar "true".

    C:\> test-netconnection <host> -port <port>

    Exemplo:

    C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Você também pode usar o encaminhador do Google SecOps para verificar a conectividade de rede:

  1. Inicie o prompt de comando com privilégios de administrador. Para isso, clique em Iniciar, digite Command Prompt, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador.

  2. Para verificar a conectividade de rede, execute o encaminhador do Google SecOps com a opção -test.

    C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!

Instalar o encaminhador do Google SecOps no Windows

No Windows, o executável do encaminhador do Google SecOps precisa ser instalado como um serviço.

  1. Copie o arquivo chronicle_forwarder.exe e o arquivo de configuração para um diretório de trabalho.

  2. Inicie o prompt de comando com privilégios de administrador. Para isso, clique em Iniciar, digite Command Prompt, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador.

  3. Para instalar o serviço, navegue até o diretório de trabalho criado na etapa 1 e execute o seguinte comando:

    C:\> .\chronicle_forwarder.exe -install -config FILE_NAME

    Substitua FILE_NAME pelo nome do arquivo de configuração fornecido a você.

    O serviço é instalado em C:\Windows\system32\ChronicleForwarder.

  4. Para iniciar o serviço, execute o seguinte comando:

    C:\> sc.exe start chronicle_forwarder

Verificar se o encaminhador do Google SecOps está em execução

O encaminhador do Google SecOps precisa ter uma conexão de rede aberta na porta 443, e seus dados vão aparecer na interface da Web do Google SecOps em alguns minutos.

É possível verificar se o encaminhador do Google SecOps está em execução usando qualquer um dos seguintes métodos:

  • Gerenciador de tarefas: navegue até a guia Processos > Processos em segundo plano > chronicle_forwarder.

  • Monitor de recursos: na guia Rede, o aplicativo chronicle_forwarder.exe deve estar listado em Atividade de rede (sempre que o aplicativo chronicle_forwarder.exe se conecta a Google Cloud), em "Conexões TCP" e em "Portas de escuta".

Ver registros do encaminhador

Os arquivos de registro do encaminhador do Google SecOps são armazenados na pasta C:\Windows\Temp. Os arquivos de registro começam com chronicle_forwarder.exe.win-forwarder. Os arquivos de registro fornecem várias informações, incluindo quando o encaminhador foi iniciado e quando começou a enviar dados para Google Cloud.

Desinstalar o encaminhador do Google SecOps

Para desinstalar o serviço de encaminhador do Google SecOps, siga estas etapas:

  1. Abra o prompt de comando no modo de administrador.

  2. Interrompa o serviço de encaminhamento do Google SecOps:

    SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

  3. Acesse o diretório C:\Windows\system32\ChronicleForwarder e desinstale o serviço de encaminhamento do Google SecOps: C:\> .\chronicle_forwarder.exe -uninstall

Fazer upgrade do encaminhador do Google SecOps

Para fazer upgrade do encaminhador do Google SecOps e continuar usando o arquivo de configuração atual, siga estas etapas:

  1. Abra o prompt de comando no modo de administrador.

  2. Copie o arquivo de configuração do diretório C:\Windows\system32\ChronicleForwarder para outro diretório.

  3. Pare o encaminhador do Google SecOps:

    C:\> sc.exe stop chronicle_forwarder

  4. Desinstale o serviço e o aplicativo de encaminhamento do Google SecOps:

    C:\> .\chronicle_forwarder.exe --uninstall

  5. Exclua todos os arquivos no diretório C:\windows\system32\ChronicleForwarder.

  6. Copie o novo aplicativo chronicle_forwarder.exe e o arquivo de configuração original para um diretório de trabalho.

  7. No diretório de trabalho, execute o seguinte comando:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

  8. Inicie o serviço:

    C:\ sc.exe start chronicle_forwarder

Coletar dados do Splunk

Entre em contato com o suporte do Google SecOps para atualizar o arquivo de configuração do encaminhador do Google SecOps e encaminhar seus dados do Splunk para Google Cloud.

Coletar dados do syslog

O encaminhador do Google SecOps pode operar como um servidor syslog. Isso significa que você pode configurar qualquer dispositivo ou servidor que ofereça suporte ao envio de dados syslog por uma conexão TCP ou UDP para encaminhar os dados ao encaminhador do Google SecOps. Você pode controlar exatamente quais dados o dispositivo ou servidor envia para o encaminhador do Google SecOps, que pode encaminhar os dados para Google Cloud.

O arquivo de configuração do encaminhador do Google SecOps especifica quais portas monitorar para cada tipo de dado encaminhado (por exemplo, porta 10514). Por padrão, o encaminhador do Google SecOps aceita conexões TCP e UDP. Entre em contato com o suporte do Google SecOps para atualizar o arquivo de configuração do encaminhador do Google SecOps e oferecer suporte ao syslog.

Alternar a compactação de dados

A compactação de registros reduz o consumo de largura de banda da rede ao transferir registros para o Google SecOps. No entanto, a compactação pode aumentar o uso da CPU. A compensação entre o uso da CPU e a largura de banda depende de muitos fatores, incluindo o tipo de dados de registro, a capacidade de compactação desses dados, a disponibilidade de ciclos de CPU no host que executa o encaminhador e a necessidade de reduzir o consumo de largura de banda da rede.

Por exemplo, os registros baseados em texto são bem compactados e podem gerar uma economia considerável de largura de banda com baixo uso da CPU. No entanto, os payloads criptografados de pacotes brutos não são compactados bem e geram um uso maior da CPU.

Como a maioria dos tipos de registros ingeridos pelo encaminhador pode ser compactada de forma eficiente, a compactação de registros é ativada por padrão para reduzir o consumo de largura de banda. No entanto, se o aumento no uso da CPU superar o benefício da economia de largura de banda, desative a compactação definindo o campo compression como false no arquivo de configuração do encaminhador do Google SecOps, conforme mostrado no exemplo a seguir:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Ativar o TLS para configurações do syslog

É possível ativar o Transport Layer Security (TLS) para a conexão syslog com o encaminhador do Google SecOps. No arquivo de configuração do encaminhador do Google SecOps, especifique o local do certificado e da chave do certificado, conforme mostrado no exemplo a seguir:

certificado C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem
certificate_key C:/opt/chronicle/external/certs/forwarder.key

Com base no exemplo mostrado, a configuração do encaminhador do Google SecOps seria modificada da seguinte forma:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Você pode criar um diretório "certs" no diretório de configuração e armazenar os arquivos de certificado nele.

Coletar dados de pacotes

O encaminhador do Google SecOps pode capturar pacotes diretamente de uma interface de rede usando o Npcap em sistemas Windows.

Os pacotes são capturados e enviados para Google Cloud em vez de entradas de registro. A captura é feita apenas de uma interface local.

Entre em contato com o suporte do Google SecOps para atualizar o arquivo de configuração do encaminhador do Google SecOps e permitir a captura de pacotes.

Para executar um encaminhador de captura de pacote (PCAP), você precisa do seguinte:

  • Instale o Npcap no host do Microsoft Windows.

  • Conceda ao encaminhador do Google SecOps privilégios de administrador ou raiz para monitorar a interface de rede.

  • Não são necessárias opções de linha de comando.

  • Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.

Para configurar um encaminhador de PCAP,o Google Cloud precisa do GUID da interface usada para capturar pacotes. Execute getmac.exe na máquina em que você planeja instalar o encaminhador do Google SecOps (o servidor ou a máquina que escuta na porta de extensão) e envie a saída para o Google SecOps.

Como alternativa, você pode modificar o arquivo de configuração. Localize a seção PCAP e substitua o valor do GUID mostrado ao lado da interface pelo GUID exibido ao executar getmac.exe.

Por exemplo, esta é uma seção PCAP original:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Esta é a saída da execução de getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Por fim, aqui está a seção PCAP revisada com o novo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Coletar dados do WebProxy

O encaminhador do Google SecOps pode capturar dados do WebProxy diretamente de uma interface de rede usando o Npcap e enviá-los para Google Cloud.

Para ativar a captura de dados do WebProxy no seu sistema, entre em contato com o suporte do Google SecOps.

Antes de executar um encaminhador WebProxy, faça o seguinte:

  1. Instale o Npcap no host do Microsoft Windows. Ative o modo de compatibilidade com WinPcap durante a instalação.

  2. Conceda privilégios de administrador ou root ao encaminhador do Google SecOps para monitorar a interface de rede.

  3. Para configurar um encaminhador WebProxy,o Google Cloud precisa do GUID da interface usada para capturar os pacotes WebProxy.

    Execute getmac.exe na máquina em que você quer instalar o encaminhador do Google SecOps e envie a saída para o Google SecOps. Se preferir, modifique o arquivo de configuração. Localize a seção "WebProxy" e substitua o GUID mostrado ao lado da interface pelo GUID exibido após a execução de getmac.exe.

    Modifique o arquivo de configuração do encaminhador do Google SecOps (FORWARDER_NAME.conf) da seguinte maneira:

      - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.