התקנה והגדרה של המעביר

במאמר הזה מוסבר איך להתקין ולהגדיר את הכלי להעברת נתונים של Google Security Operations במערכות Linux ו-Windows באמצעות Docker.

המעביר הוא רכיב תוכנה שאפשר להתקין במחשב או במכשיר, כמו שרת, בתוך הרשת שלכם. הוא אוסף נתוני יומן ומעביר אותם למכונת Google SecOps שלכם.

אתם יכולים להשתמש בכלי להעברת נתונים כדי לשלוח יומנים ישירות מהסביבה שלכם אל Google SecOps, בלי שתצטרכו להשתמש בדלי ענן או בממשקי API של צד שלישי עבור סוגי יומנים שלא נתמכים. הכלי להעברת נתונים הוא פתרון מוכן לפריסה, כך שלא תצטרכו לבצע שילוב ידני עם ה-API להעברת נתונים.

‫Google SecOps מספקת קונטיינר Docker לפריסה מאובטחת של מעביר. אתם יכולים להריץ ולנהל את קונטיינר Docker במכונות פיזיות או וירטואליות.

דרישות מערכת

ההמלצות הבאות הן כלליות. כדי לקבל המלצות ספציפיות למערכת שלכם, אפשר לפנות אל התמיכה של Google SecOps.

מערכת Linux

העברת נתונים נתמכת בהפצות שונות של Linux, כמו Debian,‏ Ubuntu, ‏ Red Hat ו-Suse. כדי להשיג ביצועים אופטימליים, צריך להשתמש ב-Docker בגרסה 20.10.21 ואילך.

• זיכרון RAM: נדרש זיכרון RAM בנפח 1GB לכל סוג נתונים שנאסף ומתקבל על ידי Google SecOps לצורך הטמעה. לדוגמה, אם מציינים ארבעה אוספי נתונים שונים, צריך 4GB RAM כדי לאסוף נתונים לכל הארבעה.

• מעבד: שני מעבדים מספיקים לטיפול בעד 10,000 אירועים בשנייה (EPS) בכל סוגי הנתונים. אם אתם צופים שהמפנה יטפל ביותר מ-10,000 EPS, הקצו ארבעה עד שישה מעבדים.

• כונן: מומלץ להקצות 20GB של נפח אחסון בכונן, בלי קשר לכמות הנתונים שהמפנה מטפל בהם.

מערכת Windows

הכלי Forwarder נתמך ב-Microsoft Windows Server 2022. כדי ליהנות מביצועים אופטימליים, צריך להשתמש ב-Docker בגרסה 20.10.21 ומעלה.

• זיכרון RAM: נדרש זיכרון RAM בנפח 1.5GB לכל סוג נתונים שנאסף ומתקבל על ידי Google SecOps לצורך הטמעה. לדוגמה, אם מציינים ארבעה אוספים שונים, צריך 6GB RAM כדי לאסוף נתונים לכל הארבעה.

• ‫CPU: שני מעבדים מספיקים לטיפול בעד 10,000 אירועים לשנייה (EPS) בכל סוגי הנתונים. אם אתם צופים שהמפנה יטפל ביותר מ-10,000 EPS, הקצו ארבעה עד שישה מעבדים.

• דיסק: מומלץ להקצות 20GB של נפח אחסון בדיסק, בלי קשר לכמות הנתונים שה-Forwarder מטפל בהם.

לפני שמתחילים

לפני שמתחילים להטמיע את המעביר, חשוב לקחת בחשבון את הנקודות הבאות.

טווחי כתובות IP של Google

כשמגדירים את המעביר, יכול להיות שיהיה צורך לשנות את הגדרות חומת האש שכוללות ציון של טווחי כתובות IP. טווח כתובות ה-IP של הדומיין שמשמש כברירת מחדל את ממשקי ה-API ואת השירותים של Google מוקצה באופן דינמי ומשתנה לעיתים קרובות. מידע נוסף זמין במאמר בנושא קבלת טווחי כתובות IP של Google.

אימות ההגדרות של חומת האש

אם קונטיינר ההעברה פועל מאחורי חומת אש או שרת proxy מאומת, צריך להעניק גישה לדואר יוצא למארחים הבאים:

תכנון ההטמעה

לפני שמתחילים להגדיר את המעביר, כדאי לתכנן את ההטמעה. כך תוכלו להתאים את מקורות הנתונים ואת מאפייני ההגדרה למטרות האבטחה, ליכולות התשתית ולדרישות המדרגיות שלכם.

הגדרת הנתונים להעברה

מבין האפשרויות הבאות, בוחרים את מקורות הנתונים הרלוונטיים ביותר לנתב:

• ‫Splunk: מתאים אם אתם כבר משתמשים ב-Splunk לניהול יומנים.

• ‫Syslog: מתאים ליומני מערכת ואפליקציות ממכשירים שונים.

• קובץ: גמיש להטמעה של כל קובץ יומן.

• חבילה: מאפשרת לראות את הרשת לעומק על ידי לכידת תנועה גולמית.

• ‫Kafka: מתאים במיוחד לצבירת יומנים בזמן אמת ממערכות מבוזרות.

• ‫WebProxy: אידיאלי לקבלת תובנות לגבי תנועת גולשים באתר והתנהגות המשתמשים.

מגבלה

הגודל המקסימלי של שורת יומן בפידים של נתונים הוא 4MB.

קביעת ההגדרה

לפני שמתקינים את המעביר, צריך לקבוע את מאפייני המפתח הבאים כדי להבטיח הטמעה מוצלחת.

דחיסת נתונים

דחיסת נתונים או יומנים מצמצמת את רוחב הפס ברשת כשמעבירים יומנים אל Google SecOps. עם זאת, היא עלולה לגרום לעלייה בשימוש במעבד. האיזון האופטימלי בין החיסכון ברוחב הפס לבין השימוש במעבד תלוי במספר גורמים, כמו סוג היומן, יכולת הדחיסה של הנתונים, משאבי המעבד הזמינים והמגבלות של רוחב הפס ברשת.

לדוגמה, בדרך כלל אפשר לדחוס היטב יומנים מבוססי-טקסט, והם יכולים לחסוך הרבה רוחב פס עם שימוש נמוך ב-CPU. לעומת זאת, יכול להיות שאי אפשר לדחוס ביעילות נתונים מוצפנים או בינאריים, והם עלולים לגרום לשימוש גבוה יותר ב-CPU.

דחיסת יומנים מושבתת כברירת מחדל. כדאי להעריך את היתרונות והחסרונות בהתאם לסביבה הספציפית שלכם ולסוג נתוני היומן.

אגירת נתונים בדיסק

מומלץ להפעיל את האפשרות 'העברת נתונים לדיסק'. האפשרות הזו מאפשרת להעביר הודעות שהצטברו בתור לדיסק במקום לזיכרון, וכך להגן על הנתונים במקרה של קריסת המעביר או המארח. עם זאת, הפעלת האפשרות הזו עלולה להשפיע על הביצועים.

אם ההשהיה של הדיסק מושבתת, המעביר מקצה 1GB של זיכרון (RAM) לכל סוג יומן (לדוגמה, לכל מחבר). הזיכרון המקסימלי המותר לחיץוי דיסק הוא 4GB.

מסננים של ביטויים רגולריים

מסננים של ביטויים רגולריים מאפשרים לסנן יומנים לפי התאמת תבניות לנתוני היומן הגולמיים. המסננים משתמשים בתחביר של RE2. המסננים חייבים לכלול ביטוי רגולרי, ואפשר גם להגדיר התנהגות במקרה של התאמה.

תוויות שרירותיות

התוויות משמשות לצירוף מטא-נתונים מותאמים אישית ליומנים באמצעות צמדי מפתח/ערך. אפשר להגדיר תוויות לכל המעביר או לאוסף ספציפי של המעביר. אם שני סוגי התוויות קיימים, התוויות ברמת האוסף מחליפות את התוויות ברמת המעביר אם יש חפיפה במפתחות.

מרחבי שמות

אפשר להשתמש בתוויות של מרחבי שמות כדי לזהות יומנים מפלחים שונים ברשת וכדי לבטל כפילויות של כתובות IP חופפות. אפשר להגדיר תווית של מרחב שמות לכל המעביר או בתוך מאסף ספציפי של המעביר. אם שניהם קיימים, מרחב השמות ברמת האוסף מבטל את מרחב השמות ברמת המעביר.

סוג יומן הביקורת

‫Google SecOps תומך במגוון סוגים של יומנים. רשימה מקיפה זמינה במאמר מערכי נתונים נתמכים.

אפשרויות לאיזון עומסים ולזמינות גבוהה

איזון עומסים נתמך רק בסוג האיסוף syslog.

אפשר לפרוס את המעביר בסביבות שבהן מאזן עומסים בשכבה 4 מותקן בין מקור הנתונים לבין מופעי המעביר. כך אפשר לפזר את איסוף היומנים בין כמה מעבירים, ולשפר את המהימנות על ידי הפניית היומנים למעביר אחר במקרה של כשל.

למעביר יש שרת HTTP מובנה שמגיב לבדיקות תקינות ממאזני עומסים ומונע אובדן של יומנים במהלך הפעלה וכיבוי. אתם יכולים להגדיר את שרת ה-HTTP, את איזון העומסים ואת אפשרויות הזמינות הגבוהה כדי לציין את משכי הזמן הקצוב לתפוגה ואת קודי המצב לבדיקות התקינות. ההגדרה הזו תואמת לפריסות מבוססות-קונטיינרים ולמאזני עומסים.

שלב 1: הגדרת התצורה של המעביר

לכל מעביר שפורס צריך קובץ הגדרה של מעביר. קובץ הגדרות של מעביר נתונים מציין את ההגדרות להעברת הנתונים למופע של Google SecOps. מומלץ ליצור קובץ הגדרה חדש לכל מארח כדי לשמור על הבחנה ברורה בין האוספים שמשויכים לכל אחד מהם.

Google Cloud הכלי מתאים אישית את קובצי ההגדרות האלה באמצעות מטא-נתונים ספציפיים לכל מופע של מעביר. אתם יכולים לשנות את הקבצים האלה בהתאם לדרישות הספציפיות שלכם ולשלב בהם פרטים על סוגי היומנים שאתם רוצים להטמיע.

אפשר ליצור קובץ הגדרות של המעביר דרך ממשק המשתמש, דרך ה-API או באופן ידני.

• ממשק המשתמש מספק ממשק גרפי להגדרת מעבירי נתונים, והוא השיטה המומלצת ליצירת הגדרת מעביר נתונים. זו הדרך הקלה ביותר להתחיל, והיא לא דורשת תכנות. כדי להוריד את קובץ ההגדרות באמצעות ממשק המשתמש של Google SecOps, אפשר לעיין במאמר ניהול הגדרות של מעבירי נתונים באמצעות ממשק המשתמש של Google SecOps.

• ממשק ה-API מספק דרך פרוגרמטית להגדיר מעבירי נתונים. כדי להוריד את הגדרת מעביר הנתונים באופן פרוגרמטי, אפשר לעיין במאמר בנושא Forwarder Management API.

• אפשר ליצור את קובץ התצורה באופן ידני ולהוסיף לו את אפשרויות התצורה. מומלץ להשתמש בשיטה של ממשק המשתמש כדי ליצור את קובץ התצורה, כדי להבטיח דיוק ולמזער שגיאות פוטנציאליות. כדי ליצור את הקובץ באופן ידני, אפשר לעיין במאמר ניהול ידני של קובץ התצורה של המעביר.

שלב 2: התקנת Docker

בקטע הזה מוסבר איך להתקין את Docker במערכת.

אימות Docker באמצעות Artifact Registry

כחלק מההתקנה של Docker, צריך לאמת את Docker. אפשר לאמת את docker באמצעות Google Cloud CLI (ממשק שורת הפקודה), או, אם אי אפשר להתקין את Google Cloud CLI, באמצעות יצירת קובץ JSON חדש של חשבון שירות במכונה הווירטואלית.

שיטה ראשונה: שימוש בממשק שורת הפקודה (CLI) של Google Cloud CLI

מריצים את הפקודה הבאה כדי לבצע אימות של Docker:

gcloud auth configure-docker gcr.io

שיטה שנייה: יצירה והורדה של קובץ JSON חדש של חשבון שירות במכונה הווירטואלית (VM).

משתמשים בשיטה הזו אם אין אפשרות להתקין את Google Cloud CLI (ממשק שורת הפקודה).

מריצים את הפקודה הבאה כדי לבצע אימות של Docker:

cat key.json | docker login -u _json_key --password-stdin https://gcr.io

מידע נוסף על שיטות נוספות לאימות Docker זמין במאמר בנושא הגדרת אימות ל-Artifact Registry עבור Docker.

מערכת Linux

‫Docker הוא קוד פתוח, וכל התיעוד הנדרש זמין בקהילת הקוד הפתוח של Docker. הוראות להתקנת Docker מופיעות במאמר Install Docker Engine (התקנת Docker Engine).

כדי לבדוק אם Docker מותקן בצורה תקינה במערכת, מריצים את הפקודה הבאה (נדרשות הרשאות מורחבות):

   docker ps
  

התגובה הבאה מציינת ש-Docker הותקן בצורה תקינה:

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

מערכת Windows

מפעילים את Windows PowerShell עם הרשאות אדמין ובודקים את הקישוריות לרשת אל Google Cloud באמצעות השלבים הבאים:

1. לוחצים על התחלה.

2. מקלידים PowerShell ולוחצים לחיצה ימנית על Windows PowerShell.

3. לוחצים על הפעלה כמנהל.

4. מריצים את הפקודה הבאה:

   C:\> test-netconnection <host> -port <port>

   פלט הפקודה מציין שהסטטוס של TcpTestSucceeded הוא true.

   דוגמה:

   C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
   ComputerName     :  malachiteingestion-pa.googleapis.com
   RemoteAddress    : 198.51.100.1
   RemotePort       : 443
   InterfaceAlias   : Ethernet
   SourceAddress    : 203.0.113.1
   TcpTestSucceeded : True
   

כדי להתקין את Docker בשרת Windows, מבצעים את הפעולות הבאות.

1. מפעילים את התכונה של מאגר Microsoft Windows:

   Install-WindowsFeature containers -Restart

2. מריצים את הפקודה הבאה במצב אדמין ב-PowerShell כדי להתקין את Docker CE:

   Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/Windows-Containers/Main/helpful_tools/Install-DockerCE/install-docker-ce.ps1" -o install-docker-ce.ps1
   
   .\install-docker-ce.ps1
   

3. כדי לבדוק את ממשק שורת הפקודה של Docker, מריצים את הפקודה docker ps, שמחזירה רשימה של קונטיינרים פעילים. אם Docker לא מותקן כמו שצריך, מוצגת שגיאה.

   מידע נוסף זמין במאמר תחילת העבודה: הכנת Windows לקונטיינרים.

   בפריסות ארגוניות, מתקינים את Mirantis Container Runtime, שנקרא גם Docker EE.

שלב 3: התקנת המעביר

בקטע הזה מוסבר איך להתקין את המעביר באמצעות קונטיינר Docker.

שלב 3א: מעבירים את קובצי ההגדרות לספריית המעביר

השלב הראשון בתהליך ההתקנה של המעביר הוא להציב את קובצי ההגדרות הנדרשים בספרייה המיועדת של המעביר.

מערכת Linux

כדי למקם את קובצי ההגדרות בספריית המעביר, פועלים לפי השלבים הבאים:

1. מתחברים למארח של מעביר הנתונים ב-Linux באמצעות הטרמינל.

2. משנים את הספרייה לספריית הבית שבה פועל קונטיינר Docker.

3. יוצרים ספרייה לאחסון קובצי התצורה של המעביר.

     mkdir /opt/chronicle/'CONFIG'
   

   אפשר להחליף את שם הספרייה, CONFIG, בכל שם שתבחרו. חשוב להשתמש באותו שם של ספרייה כשמריצים את הפקודה docker run.

4. משנים את הספרייה.

     cd /opt/chronicle/config
   

5. אחרי העברת הקבצים, מוודאים שקבצי ההגדרות נמצאים בספרייה /opt/chronicle/config.

     ls -l
   

מערכת Windows

יוצרים תיקייה בשם C:\config וממקמים בה את קובצי ההגדרות. אפשר להחליף את שם התיקייה, config, בכל שם שתבחרו. חשוב לוודא שמשתמשים באותו שם תיקייה כשמריצים את הפקודה docker run.

שלב 3ב: מריצים את הכלי להעברה

אחרי שממקמים את קובצי ההגדרות בספרייה הייעודית של המעביר, אפשר להפעיל את המעביר או לשדרג לגרסה האחרונה של מאגר Google SecOps.

אם משדרגים את הקונטיינר, צריך לנקות את כל ההרצות הקודמות של Docker באמצעות הפקודות הבאות.

      docker stop 'cfps'
    

      docker rm 'cfps'
    

בדוגמה, שם קובץ ה-Docker הוא cfps.

כדי להפעיל את המעביר בפעם הראשונה או כדי לשדרג לגרסה האחרונה של מאגר התגים של Google SecOps, מבצעים את הפעולות הבאות:

1. מקבלים את קובץ האימג' העדכני של Docker מ- Google Cloud:

   מערכת Linux:

   docker pull gcr.io/chronicle-container/cf_production_stable

   מערכת Windows:

   docker pull gcr.io/chronicle-container/cf_production_stable_windows

2. מפעילים את המעביר מהקונטיינר של Docker:

   מערכת Linux:

     docker run \
     --detach \
     --name cfps \
     --restart=always \
     --log-opt max-size=100m \
     --log-opt max-file=10 \
     --net=host \
     -v /opt/chronicle/config:/opt/chronicle/external \
     gcr.io/chronicle-container/cf_production_stable
   

   (אופציונלי למערכת Linux) כשמפעילים את המעביר מקונטיינר Docker, יש אפשרות לטעון ספריית משנה ספציפית מ-/var/log/.
   כדי לטעון ספריית משנה ספציפית, מוסיפים את השורה הבאה לפקודה ומחליפים את ערך placeholder‏ <parser-name> בשם הספרייה במערכת המארחת שממנה צריך לאסוף את היומנים:

     -v /var/log/<parser-name>:/opt/chronicle/edr \
   

   מערכת Linux (כולל האפשרות לטעון ספריית משנה ספציפית):

   `docker run \
   --detach \
   --name cfps \
   --restart=always \
   --log-opt max-size=100m \
   --log-opt max-file=10 \
   --net=host \
   -v /opt/chronicle/config:/opt/chronicle/external \
   -v /var/log/<parser-name>:/opt/chronicle/edr \
   gcr.io/chronicle-container/cf_production_stable`
   

   מערכת Windows:

     docker run `
       --detach `
       --name cfps `
       --restart=always `
       --log-opt max-size=100m `
       --log-opt max-file=10 `
       -p 0.0.0.0:10515-10520:10515-10520/udp `
       -v C:\config\:C:/opt/chronicle/external `
       gcr.io/chronicle-container/cf_production_stable_windows
   

האפשרויות --log-opt זמינות החל מ-Docker 1.13. האפשרויות האלה מגבילות את הגודל של קובצי היומן של הקונטיינר, וחובה להשתמש בהן כל עוד גרסת Docker שבה אתם משתמשים תומכת בהן.

ניהול המעביר

בקטעים הבאים מוסבר איך לנהל את המעביר.

צפייה ביומנים של המעביר

• כדי להציג את היומנים של המעביר, מריצים את הפקודה הבאה:

  docker logs cfps
  

• כדי לראות את הנתיב של הקובץ שבו היומנים מאוחסנים, מריצים את הפקודה הבאה:

  docker inspect --format='{{.LogPath}}' CONTAINER_NAME
  

• כדי לראות את היומנים הפעילים, מריצים את הפקודה הבאה:

  docker logs cfps -f
  

• כדי לאחסן את היומנים בקובץ, מריצים את הפקודה הבאה:

  docker logs cfps &> logs.txt
  

הסרת ההתקנה של המעביר

הפקודות הבאות של Docker עוזרות לעצור, להסיר או למחוק את המעביר.

• כדי לעצור או להסיר את קונטיינר ההעברה, מריצים את הפקודה הבאה:

  docker stop cfps
  

• כדי להסיר את מאגר ההפניה, מריצים את הפקודה הבאה:

  docker rm cfps
  

עדכון המעביר

המעביר מורכב משני רכיבים, שלכל אחד מהם יש תהליך עדכון משלו:

• חבילת Forwarder: הרכיב הזה מתעדכן אוטומטית, כך שלא צריך להפעיל מחדש את המחשב.

• תמונת Docker של מעביר נתונים: העדכונים של הרכיב הזה מתבצעים באופן ידני. צריך לעצור את המופע הנוכחי של מעביר הנתונים ולהפעיל מופע חדש, כמו שמתואר בשלב 3ב.

מדריכים להוספת נתונים משרתים להעברת נתונים למערכי נתונים ספציפיים

כדי ללמוד איך מערכת מעכלת מערך נתונים מסוים באמצעות מעבירי נתונים, אפשר לעיין במאמרים הבאים:

• התקנת Carbon Black Event Forwarder
• איסוף יומנים של חומת אש Cisco ASA
• איסוף יומנים של Corelight Sensor
• איסוף יומנים של Fluentd
• איסוף יומני מערכת של Linux auditd ו-Unix
• איסוף נתונים מ-Microsoft Windows AD
• איסוף נתוני DHCP של Microsoft Windows
• איסוף נתוני DNS של Microsoft Windows
• איסוף נתוני אירועים של Microsoft Windows
• איסוף נתונים של Sysmon ב-Microsoft Windows
• איסוף יומנים של osquery
• איסוף יומנים של OSSEC
• איסוף יומנים של חומת האש של Palo Alto Networks
• איסוף יומנים של Splunk CIM
• איסוף יומנים של Zeek

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.