Esta página foi traduzida pela API Cloud Translation.

Executável do encaminhador das Operações de segurança do Google para Windows

Compatível com:

Google SecOps SIEM

Este documento descreve como instalar e configurar o encaminhador de Operações de Segurança do Google na Microsoft Windows.

Personalizar os arquivos de configuração

Com base nas informações enviadas antes da implantação, o Google Cloud fornece um arquivo executável e um arquivo de configuração opcional para o forwarder das operações de segurança do Google. O arquivo executável só deve ser executado no host foi configurado. Cada arquivo executável inclui uma configuração específica do instância de encaminhador das Operações de segurança do Google na sua rede. Se você precisar alterar a configuração, entre em contato com o suporte das Operações de segurança do Google.

Requisitos do sistema

Confira a seguir recomendações gerais. Para recomendações específicas do seu sistema, entre em contato com o suporte do Google Security Operations.

Versão do Windows Server: o encaminhador do Google Security Operations é compatível nas seguintes versões do Microsoft Windows Server:
- 2008 R2
- 2012 R2
- 2016
RAM: 1,5 GB para cada tipo de dados coletado. Por exemplo, a detecção e resposta de endpoints (EDR), o DNS e o DHCP são tipos de dados separados. Você precisa de 4,5 GB de RAM para coletar dados os três.
CPU: 2 CPUs são suficientes para processar menos de 10.000 eventos por segundo (EPS) (total para todos os tipos de dados). Se você espera encaminhar mais de 10.000 EPS, são necessárias de 4 a 6 CPUs.
Disco: 100 MB de espaço em disco são suficientes, independente da quantidade de dados que o encaminhador das Operações de segurança do Google alças Por padrão, o encaminhador das Operações de segurança do Google não faz o buffer no disco. É possível armazenar o disco em buffer adicionando os parâmetros write_to_disk_buffer_enabled e write_to_disk_dir_path ao arquivo de configuração.

Exemplo:
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

Intervalos de endereços IP do Google

Talvez você precise abrir o intervalo de endereços IP ao definir uma configuração de encaminhador das Operações de segurança do Google. como ao definir a configuração do firewall. O Google não pode fornecer uma lista específica de endereços IP. No entanto, você pode conseguir intervalos de endereços IP do Google.

Verificar a configuração do firewall

Se você tiver firewalls ou proxies autenticados entre o contêiner de encaminhador do Google Security Operations e ela exige regras que permitam o acesso aos seguintes hosts do Google Cloud:

Tipo de conexão	Destino	Port
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	europe-west12-malachiteingestion-pa.googleapis.com	443
TCP	me-central1-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

Verifique a conectividade de rede com o Google Cloud seguindo estas etapas:

Inicie o Windows PowerShell com privilégios de administrador (clique em Iniciar, digite PowerShell, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como administrador).

Execute o comando a seguir. TcpTestSucceeded precisa retornar "true".

C:\> test-netconnection <host> -port <port>

Exemplo:

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

Você também pode usar o encaminhador de Operações de segurança do Google para verificar a conectividade de rede:

Inicie o prompt de comando com privilégios de administrador (clique em Iniciar, digite Command Prompt, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador).
Para verificar a conectividade de rede, execute o encaminhador de Operações de segurança do Google com a opção -test.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

Instalar o encaminhador de Operações de segurança do Google no Windows

No Windows, o executável do encaminhador das Operações de segurança do Google precisa ser instalado como um serviço.

Copie o arquivo chronicle_forwarder.exe e o arquivo de configuração para um diretório de trabalho.
Inicie o prompt de comando com privilégios de administrador (clique em Iniciar, digite Command Prompt, clique com o botão direito do mouse em Prompt de comando e clique em Executar como administrador).
Para instalar o serviço, navegue até o diretório de trabalho criado na etapa 1 e execute o seguinte comando:
```
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
```
Substitua FILE_NAME pelo nome do arquivo de configuração. fornecidas a você.

O serviço está instalado em C:\Windows\system32\ChronicleForwarder.
Para iniciar o serviço, execute o seguinte comando:
```
C:\> sc.exe start chronicle_forwarder
```

Verifique se o encaminhador de Operações de segurança do Google está em execução

O encaminhador das Operações de segurança do Google deve ter uma conexão de rede aberta na porta 443, e seus dados devem aparecer na interface da Web das Operações de segurança do Google em minutos.

Você pode verificar se o encaminhador de Operações de segurança do Google está em execução usando um dos seguintes métodos:

Gerenciador de tarefas: acesse a guia Processos > Processos em segundo plano > chronicle_forwarder.
Monitor de recursos: na guia Rede, o aplicativo chronicle_forwarder.exe deve estar listado em Atividade de rede (sempre que o aplicativo chronicle_forwarder.exe se conectar ao Google Cloud), em Conexões TCP e em Portas de escuta.

Ver registros do encaminhador

Os arquivos de registro do encaminhador das Operações de segurança do Google são armazenados no C:\Windows\Temp do Compute Engine. Os arquivos de registro começam com chronicle_forwarder.exe.win-forwarder. Os arquivos de registro fornecem várias informações, incluindo quando o encaminhador foi quando começou a enviar dados para o Google Cloud.

Desinstalar o encaminhador do Google Security Operations

Para desinstalar o serviço de encaminhamento de operações de segurança do Google, siga estas etapas:

Abra o prompt de comando no modo de administrador.

Interromper o serviço de encaminhamento do Google Security Operations:

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

Navegue até o diretório C:\Windows\system32\ChronicleForwarder e desinstale o serviço de encaminhador do Google Security Operations: C:\> .\chronicle_forwarder.exe -uninstall

Fazer upgrade do encaminhador de Operações de segurança do Google

Para fazer upgrade do encaminhador das Operações de segurança do Google enquanto continua usando seu arquivo de configuração atual, siga estas etapas:

Abra o prompt de comando no modo de administrador.
Copie o arquivo de configuração do diretório C:\Windows\system32\ChronicleForwarder para outro diretório.
Interrompa o encaminhador de Operações de segurança do Google:
```
C:\> sc.exe stop chronicle_forwarder
```
Desinstale o serviço e o aplicativo de encaminhador do Google Security Operations:
```
C:\> .\chronicle_forwarder.exe --uninstall
```
Exclua todos os arquivos no diretório C:\windows\system32\ChronicleForwarder.
Copie o novo aplicativo chronicle_forwarder.exe e o arquivo de configuração original para um diretório de trabalho.

No diretório de trabalho, execute o seguinte comando:

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

Inicie o serviço:
```
C:\ sc.exe start chronicle_forwarder
```

Coletar dados do Splunk

Entre em contato com o Suporte das Operações de segurança do Google para atualizar seu encaminhador de Operações de segurança do Google de arquivo de configuração para encaminhar os dados do Splunk para o Google Cloud.

Coletar dados de syslog

O encaminhador do Google Security Operations pode operar como um servidor syslog, ou seja, é possível configurar qualquer dispositivo ou servidor que ofereça suporte ao envio de dados de syslog em uma conexão TCP ou UDP para encaminhar os dados ao encaminhador de Operações de Segurança do Google. Você pode controlar exatamente o que dados que o dispositivo ou servidor envia para o encaminhador das Operações de segurança do Google, que pode encaminhar os dados para o Google Cloud.

O arquivo de configuração do encaminhador das Operações de segurança do Google especifica quais portas monitorar cada tipo de dados encaminhados (por exemplo, porta 10514). Por padrão, o encaminhador das Operações de segurança do Google aceita conexões TCP e UDP. Entre em contato com o Suporte das Operações de segurança do Google para atualizar o arquivo de configuração do encaminhador das Operações de segurança do Google para que ele seja compatível com o syslog.

Alternar a compactação de dados

A compactação de registros reduz o consumo de largura de banda da rede ao transferir registros para o Google Security Operations. No entanto, a compactação pode causar um aumento no uso da CPU. O trade-off entre o uso da CPU e a largura de banda depende de muitos fatores, incluindo o tipo de dados de registro, a compressibilidade desses dados, a disponibilidade de ciclos de CPU no host que executa o forwarder e a necessidade de reduzir o consumo de largura de banda da rede.

Por exemplo, os registros baseados em texto são bem compactados e podem proporcionar uma economia significativa na largura de banda com baixo uso da CPU. No entanto, os payloads criptografados de pacotes brutos não são bem compactados e geram um uso maior da CPU.

Como a maioria dos tipos de registro ingeridos pelo encaminhador são compactáveis com eficiência, a compactação é ativada por padrão para reduzir o consumo de largura de banda. No entanto, se o aumento do uso da CPU for maior que o benefício da economia de largura de banda, você poderá desativar a compactação definindo o campo compression como false no arquivo de configuração do forwarder das operações de segurança do Google, conforme mostrado no exemplo a seguir:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Ativar o TLS para configurações do syslog

Você pode ativar o Transport Layer Security (TLS) para a conexão syslog com o Google Security Operations encaminhador. No arquivo de configuração do encaminhador do Google Security Operations, especifique o local do seu certificado e da sua chave de certificado, conforme mostrado abaixo exemplo:

certificado	`C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
certificate_key	`C:/opt/chronicle/external/certs/forwarder.key`

Com base no exemplo mostrado, a configuração de encaminhador do Google Security Operations ser modificado da seguinte forma:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

É possível criar um diretório "certs" no diretório de configuração e armazenar os arquivos de certificado.

Coletar dados de pacotes

O encaminhador de Operações de segurança do Google pode capturar pacotes diretamente de uma interface de rede usando Npcap em sistemas Windows.

Os pacotes são capturados e enviados para o Google Cloud em vez das entradas de registro. A captura é feita somente a partir de uma interface local.

Entre em contato com o suporte do Google Security Operations para atualizar o arquivo de configuração do forwarder do Google Security Operations e oferecer suporte à captura de pacotes.

Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:

Instale o Npcap no host do Microsoft Windows.
Conceda privilégios de administrador ou raiz do encaminhador das Operações de segurança do Google para monitorar a interface de rede.
Nenhuma opção de linha de comando é necessária.
Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.

Para configurar um encaminhador PCAP, o Google Cloud precisa do GUID da interface usada para capturar pacotes. Execute getmac.exe na máquina em que você planeja instalar o encaminhador do Google Security Operations (o servidor ou a máquina que está escutando na porta de extensão) e envie a saída para o Google Security Operations.

Se preferir, modifique o arquivo de configuração. Localize a seção PCAP e substitua o valor de GUID mostrado ao lado da interface pelo GUID exibido na execução de getmac.exe.

Por exemplo, aqui está uma seção original de PCAP:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Esta é a saída da execução de getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

E, finalmente, veja a seção revisada do PCAP com o novo GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

Coletar dados do WebProxy

O encaminhador de Operações de segurança do Google pode capturar dados do WebProxy diretamente de uma rede usando o Npcap e enviá-la para o Google Cloud.

Para ativar a captura de dados do WebProxy para seu sistema, entre em contato com o Suporte de Operações de Segurança do Google.

Antes de executar um encaminhador WebProxy, faça o seguinte:

Instale o Npcap no host do Microsoft Windows. Ativar compatibilidade com WinPcap durante a instalação.
Conceda privilégios de raiz ou administrador ao forwarder do Google Security Operations para monitorar a interface de rede.
Para configurar um encaminhador do WebProxy, o Google Cloud precisa do GUID para o interface de proxy usada para capturar os pacotes WebProxy.

Execute getmac.exe na máquina em que você quer instalar as Operações de segurança do Google encaminhador e enviar a saída para as Operações de segurança do Google. Também é possível modificar o arquivo de configuração. Localize a seção WebProxy e substitua o GUID mostrado ao lado da interface com o GUID exibido após a execução de getmac.exe.

Modifique o arquivo de configuração do forwarder do Google Security Operations (FORWARDER_NAME.conf) da seguinte maneira:
```
  - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80
```