Eseguibile dell'inoltro di Google Security Operations per Windows
Questo documento descrive come installare e configurare il forwarding Google Security Operations su Microsoft Windows.
Personalizzare i file di configurazione
In base alle informazioni inviate prima del deployment, Google Cloud fornisce un file eseguibile e un file di configurazione facoltativo Forwarder di Google Security Operations. Il file eseguibile deve essere eseguito solo sull'host per cui è stata configurata la soluzione. Ciascun file eseguibile include una configurazione specifica Istanza di forwarding di Google Security Operations sulla tua rete. Se devi modificare la configurazione, contatta l'assistenza di Google Security Operations.
Requisiti di sistema
Di seguito sono riportati alcuni consigli di carattere generale. Per consigli specifici per i tuoi di sistema, contatta l'assistenza di Google Security Operations.
Versione di Windows Server: l'inoltro di Google Security Operations è supportato sulle seguenti versioni di Microsoft Windows Server:
R2 2008
R2 2012
2016
RAM: 1,5 GB per ogni tipo di dati raccolti. Ad esempio, rilevamento e risposta degli endpoint (EDR), DNS e DHCP sono tutti tipi di dati separati. Sono necessari 4,5 GB di RAM per raccogliere i dati tutti e tre.
CPU: 2 CPU sono sufficienti per gestire meno di 10.000 eventi al secondo (EPS) (totale per tutti i tipi di dati). Se si prevede di inoltrare più di 10.000 EPS, sono necessarie da 4 a 6 CPU.
Disco: sono sufficienti 100 MB di spazio su disco, indipendentemente dalla quantità di dati utilizzata per l'inoltro di Google Security Operations handle. L'inoltro di Google Security Operations non esegue il buffer sul disco per impostazione predefinita. Puoi eseguire il buffering del disco aggiungendo i parametri
write_to_disk_buffer_enabled
ewrite_to_disk_dir_path
nel file di configurazione.Ad esempio:
- <collector>: common: ... write_to_disk_buffer_enabled: true write_to_disk_dir_path: <var>your_path</var> ...
Intervalli di indirizzi IP di Google
Potresti dover aprire l'intervallo di indirizzi IP durante la configurazione di una configurazione di forwarding di Google Security Operations. ad esempio durante l'impostazione della configurazione del firewall. Google non può fornire un elenco specifico di indirizzi IP. Tuttavia, puoi ottenere intervalli di indirizzi IP di Google.
Verifica la configurazione del firewall
Se sono presenti firewall o proxy autenticati tra il container di forwarding di Google Security Operations e internet, richiedono regole per consentire l'accesso ai seguenti host Google Cloud:
Tipo di connessione | Destinazione | Port (Porta) |
TCP | malachiteingestion-pa.googleapis.com | 443 |
TCP | asia-northeast1-malachiteingestion-pa.googleapis.com | 443 |
TCP | asia-south1-malachiteingestion-pa.googleapis.com | 443 |
TCP | asia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
TCP | australia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west2-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west3-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west6-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west12-malachiteingestion-pa.googleapis.com | 443 |
TCP | me-central1-malachiteingestion-pa.googleapis.com | 443 |
TCP | me-central2-malachiteingestion-pa.googleapis.com | 443 |
TCP | me-west1-malachiteingestion-pa.googleapis.com | 443 |
TCP | northamerica-northeast2-malachiteingestion-pa.googleapis.com | 443 |
TCP | accounts.google.com | 443 |
TCP | gcr.io | 443 |
TCP | oauth2.googleapis.com | 443 |
TCP | storage.googleapis.com | 443 |
Puoi verificare la connettività di rete a Google Cloud seguendo questa procedura:
Avvia Windows PowerShell con privilegi di amministratore (fai clic su Start, digita
PowerShell
, fai clic con il tasto destro del mouse su Windows PowerShell e fai clic su Esegui come amministratore).Esegui questo comando.
TcpTestSucceeded
deve restituire true.C:\> test-netconnection <host> -port <port>
Ad esempio:
C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443 ComputerName : malchiteingestion-pa.googleapis.com RemoteAddress : 198.51.100.202 RemotePort : 443 InterfaceAlias : Ethernet SourceAddress : 10.168.0.2 TcpTestSucceeded : True
Puoi anche utilizzare lo strumento di inoltro di Google Security Operations per verificare la connettività di rete:
Avvia il prompt dei comandi con privilegi amministrativi (fai clic su Start, digita
Command Prompt
, fai clic con il tasto destro del mouse su Prompt dei comandi e fai clic su Esegui come amministratore).Per verificare la connettività di rete, esegui l'inoltro di Google Security Operations con l'opzione
-test
.C:\> .\chronicle_forwarder.exe -test Verify network connection succeeded!
Installa l'inoltro di Google Security Operations su Windows
Su Windows, l'eseguibile del forwarding di Google Security Operations deve essere installato come servizio.
Copia il file
chronicle_forwarder.exe
e il file di configurazione in una directory di lavoro.Avvia il prompt dei comandi con privilegi amministrativi (fai clic su Start, digita
Command Prompt
, fai clic con il tasto destro del mouse su Prompt dei comandi e fai clic su Esegui come amministratore).Per installare il servizio, vai alla directory di lavoro creata al passaggio 1 ed esegui questo comando:
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
Sostituisci
FILE_NAME
con il nome del file di configurazione che ti sono state fornite.Il servizio è installato in
C:\Windows\system32\ChronicleForwarder
.Per avviare il servizio, esegui questo comando:
C:\> sc.exe start chronicle_forwarder
Verifica che l'inoltro di Google Security Operations sia in esecuzione
La connessione di rete del server di inoltro di Google Security Operations dovrebbe essere aperta sulla porta 443 e i dati dovrebbero essere visualizzati nell'interfaccia web di Google Security Operations entro pochi minuti.
Puoi verificare che l'inoltro di Google Security Operations sia in esecuzione utilizzando uno dei seguenti metodi:
Task Manager: vai alla scheda Processi > Processi in background > chronicle_forwarder.
Monitoraggio delle risorse: nella scheda Network (Rete), l'applicazione
chronicle_forwarder.exe
dovrebbe essere elencata in Attività di rete (ogni volta che l'applicazionechronicle_forwarder.exe
si connette a Google Cloud), sotto Connessioni TCP e in Porte di ascolto.
Visualizza log di forwarding
I file di log del forwarding di Google Security Operations sono archiviati in C:\Windows\Temp
. I file di log iniziano con chronicle_forwarder.exe.win-forwarder
.
I file di registro forniscono varie informazioni, ad esempio quando l'utente ha
e quando ha iniziato a inviare dati a Google Cloud.
Disinstalla lo strumento per l'inoltro di Google Security Operations
Per disinstallare il servizio di inoltro di Google Security Operations, completa i seguenti passaggi:
Apri il prompt dei comandi in modalità amministratore.
Interrompi il servizio di inoltro di Google Security Operations:
SERVICE_NAME: chronicle_forwarder TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
Vai alla directory
C:\Windows\system32\ChronicleForwarder
e disinstalla il servizio di inoltro di Google Security Operations:C:\> .\chronicle_forwarder.exe -uninstall
Esegui l'upgrade del servizio di forwarding di Google Security Operations
Per eseguire l'upgrade del forwarding di Google Security Operations continuando a utilizzare il file di configurazione attuale, completa i seguenti passaggi:
Apri il prompt dei comandi in modalità amministratore.
Copia il file di configurazione dalla directory
C:\Windows\system32\ChronicleForwarder
a un'altra directory.Interrompi l'inoltro di Google Security Operations:
C:\> sc.exe stop chronicle_forwarder
Disinstalla il servizio di inoltro di Google Security Operations e l'applicazione:
C:\> .\chronicle_forwarder.exe --uninstall
Elimina tutti i file nella directory
C:\windows\system32\ChronicleForwarder
.Copia la nuova applicazione
chronicle_forwarder.exe
e il file di configurazione originale in una directory di lavoro.Dalla directory di lavoro, esegui questo comando:
C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
Avvia il servizio:
C:\ sc.exe start chronicle_forwarder
Raccogli dati Splunk
Contatta l'assistenza di Google Security Operations per aggiornare lo strumento di inoltro di Google Security Operations di configurazione del deployment per inoltrare i dati Splunk a Google Cloud.
Raccogli i dati di syslog
Il server di forwarding di Google Security Operations può funzionare come server syslog, il che significa che puoi configurare qualsiasi appliance o server che supporti l'invio di dati syslog tramite una connessione TCP o UDP di inoltrare i propri dati al responsabile dell'inoltro di Google Security Operations. Puoi controllare esattamente Dati che l'appliance o il server invia al forwarding Google Security Operations, che può quindi inoltrarli a Google Cloud.
Il file di configurazione del forwarding di Google Security Operations specifica le porte da monitorare ciascun tipo di dati inoltrati (ad esempio, porta 10514). Per impostazione predefinita, il server di forwarding di Google Security Operations accetta sia connessioni TCP che UDP. Contatta l'assistenza di Google Security Operations per aggiornare il file di configurazione del forwarding di Google Security Operations in modo che supporti syslog.
Attiva/disattiva la compressione dei dati
La compressione dei log riduce il consumo di larghezza di banda della rete durante il trasferimento dei log a Google Security Operations. Tuttavia, la compressione potrebbe causare un aumento dell'utilizzo della CPU. Il compromesso tra utilizzo della CPU e dipende da molti fattori, tra cui il tipo di dati di log, la comprimibilità dei i dati, la disponibilità di cicli della CPU sull'host che esegue il forwarding e la necessità il consumo della larghezza di banda della rete.
Ad esempio, i log basati su testo si comprimono bene e possono garantire un notevole risparmio di larghezza di banda con un utilizzo ridotto della CPU. Tuttavia, i payload crittografati dei pacchetti non elaborati non si comprimono bene e sono di utilizzo della CPU in modo più elevato.
Poiché la maggior parte dei tipi di log importati dal server di inoltro sono comprimibili in modo efficiente,
è abilitata per impostazione predefinita per ridurre il consumo della larghezza di banda. Tuttavia, se l'aumento della CPU
di larghezza di banda supera il vantaggio del risparmio di larghezza di banda, puoi disabilitare la compressione
impostando il campo compression
su false
nel file di configurazione del forwarding di Google Security Operations, come mostrato nell'esempio seguente:
compression: false
url: malachiteingestion-pa.googleapis.com:443
identity:
identity:
collector_id: 10479925-878c-11e7-9421-10604b7abba1
customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
secret_key: |
{
"type": "service_account",
...
Abilita TLS per le configurazioni syslog
Puoi attivare Transport Layer Security (TLS) per la connessione syslog a Google Security Operations spedizioniere. Nel file di configurazione del forwarding di Google Security Operations, specifica la del certificato e della chiave del certificato, come mostrato di seguito esempio:
certificato | C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem |
certificate_key | C:/opt/chronicle/external/certs/forwarder.key |
In base all'esempio mostrato, la configurazione del forwarding di Google Security Operations
essere modificato come segue:
collectors: - syslog: common: enabled: true data_type: WINDOWS_DNS data_hint: batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10515 connection_timeout_sec: 60 certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem" certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"
Puoi creare una directory certs sotto la directory di configurazione e archiviare del certificato.
Raccogli i dati dei pacchetti
Il forwarding di Google Security Operations può acquisire pacchetti direttamente da un'interfaccia di rete utilizzando Npcap sui sistemi Windows.
I pacchetti vengono acquisiti e inviati a Google Cloud anziché le voci di log. L'acquisizione viene eseguita solo da un'interfaccia locale.
Contatta l'assistenza di Google Security Operations per aggiornare il file di configurazione del forwarding di Google Security Operations in modo che supporti l'acquisizione dei pacchetti.
Per eseguire un forwarding Packet Capture (PCAP), è necessario quanto segue:
Installa Npcap sull'host Microsoft Windows.
Concedi a Google Security Operations i privilegi root o di amministratore per l'inoltro per monitorare l'interfaccia di rete.
Non sono necessarie opzioni della riga di comando.
Nell'installazione di Npcap, attiva la modalità di compatibilità di WinPcap.
Per configurare un forwarding PCAP, Google Cloud ha bisogno del GUID dell'interfaccia utilizzata per acquisire i pacchetti.
Esegui getmac.exe
sul computer su cui prevedi di installare il forwarding Google Security Operations
(il server o la macchina in ascolto sulla porta span) e inviano l'output a Google Security Operations.
In alternativa, puoi modificare il file di configurazione. Individua la sezione PCAP e sostituisci il valore GUID mostrato accanto all'interfaccia con il GUID visualizzato dall'esecuzione di getmac.exe.
Ad esempio, ecco una sezione originale PCAP:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
bpf: udp port 53
Ecco l'output dell'esecuzione di getmac.exe
:
C:\>getmac.exe
Physical Address Transport Name
===========================================================================
A4-73-9F-ED-E1-82 \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}
Infine, ecco la sezione PCAP rivista con il nuovo GUID:
- pcap:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
bpf: udp port 53
Raccogli dati WebProxy
L'inoltro di Google Security Operations può acquisire i dati WebProxy direttamente da una rete utilizzando Npcap e la invii a Google Cloud.
Per attivare l'acquisizione dei dati di WebProxy per il tuo sistema, contatta l'assistenza di Google Security Operations.
Prima di eseguire un forwarding WebProxy, segui questi passaggi:
Installa Npcap sull'host Microsoft Windows. Abilita compatibilità WinPcap durante l'installazione.
Concedi i privilegi root o di amministratore all'utente che esegue l'inoltro di Google Security Operations per monitorare l'interfaccia di rete.
Per configurare un forwarding WebProxy, Google Cloud ha bisogno del GUID per utilizzata per acquisire i pacchetti WebProxy.
Esegui
getmac.exe
sul computer in cui vuoi installare Google Security Operations per l'inoltro e inviare l'output a Google Security Operations. In alternativa, puoi modificare il file di configurazione. Individua la sezione WebProxy e sostituisci il GUID visualizzato accanto all'interfaccia con il GUID visualizzato dopo l'esecuzione digetmac.exe
.Modifica la configurazione dell'inoltro di Google Security Operations (
FORWARDER_NAME.conf
) come segue:- webproxy: common: enabled : true data_type: <Your LogType> batch_n_seconds: 10 batch_n_bytes: 1048576 interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734} bpf: tcp and dst port 80