Ausführbare Datei des Windows-Weiterleitungsdienstes installieren
In diesem Dokument wird beschrieben, wie Sie den Google SecOps-Weiterleitungsdienst unter Microsoft Windows installieren und konfigurieren.
Konfigurationsdateien anpassen
Basierend auf den Informationen, die Sie vor der Bereitstellung eingereicht haben, Google Cloud erhalten Sie eine ausführbare Datei und eine optionale Konfigurationsdatei für den Google SecOps-Weiterleitungsdienst. Die ausführbare Datei sollte nur auf dem Host ausgeführt werden, für den sie konfiguriert wurde. Jede ausführbare Datei enthält eine Konfiguration, die spezifisch für die Google SecOps-Weiterleitungsdienstinstanz in Ihrem Netzwerk ist. Wenn Sie die Konfiguration ändern müssen, wenden Sie sich an den Google SecOps Support.
Systemanforderungen
Im Folgenden finden Sie allgemeine Empfehlungen. Wenn Sie Empfehlungen speziell für Ihr System benötigen, wenden Sie sich an den Google SecOps Support.
Windows Server-Version: Der Google SecOps-Weiterleitungsdienst wird unter den folgenden Versionen von Microsoft Windows Server unterstützt:
2008 R2
2012 R2
2016
RAM: 1,5 GB für jeden erfassten Datentyp. Beispielsweise sind Endpoint Detection and Response (EDR), DNS und DHCP separate Datentypen. Sie benötigen 4,5 GB RAM, um Daten für alle drei zu erfassen.
CPU: 2 CPUs reichen aus,um weniger als 10.000 Ereignisse pro Sekunde (EPS) zu verarbeiten (insgesamt für alle Datentypen). Wenn Sie mehr als 10.000 EPS weiterleiten möchten, sind 4 bis 6 CPUs erforderlich.
Festplatte: Unabhängig davon, wie viele Daten der Google SecOps-Weiterleitungsdienst verarbeitet, sind 20 GB Festplattenspeicher erforderlich. Der Google SecOps-Weiterleitungsdienst puffert standardmäßig nicht auf der Festplatte, es wird jedoch empfohlen, die Festplattenpufferung zu aktivieren. Sie können das Laufwerk puffern, indem Sie die Parameter
write_to_disk_buffer_enabledundwrite_to_disk_dir_pathin der Konfigurationsdatei hinzufügen.Beispiel:
- <collector>: common: ... write_to_disk_buffer_enabled: true write_to_disk_dir_path: <var>your_path</var> ...
Google-IP-Adressbereiche
Möglicherweise benötigen Sie den IP-Adressbereich, der beim Einrichten einer Google SecOps-Weiterleitungsdienstkonfiguration geöffnet werden muss, z. B. beim Einrichten der Konfiguration für Ihre Firewall. Google kann keine bestimmte Liste von IP-Adressen bereitstellen. Sie können jedoch IP-Adressbereiche von Google abrufen.
Firewallkonfiguration prüfen
Wenn sich zwischen dem Google SecOps-Weiterleitungsdienstcontainer und dem Internet Firewalls oder authentifizierte Proxys befinden, sind Regeln erforderlich, um den Zugriff auf die folgenden Google Cloud Hosts zu ermöglichen:
| Verbindungstyp | Ziel | Port |
| TCP | malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-northeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-south1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | australia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | eu-chronicle.googleapis.com | 443 |
| TCP | europe-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west3-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west6-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west9-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west12-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-central1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-central2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-west1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | northamerica-northeast2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | southamerica-east1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | accounts.google.com | 443 |
| TCP | gcr.io | 443 |
| TCP | cloud.google.com/artifact-registry | 443 |
| TCP | oauth2.googleapis.com | 443 |
| TCP | storage.googleapis.com | 443 |
So prüfen Sie die Netzwerkverbindung zu Google Cloud mit den folgenden Schritten:
Starten Sie Windows PowerShell mit Administratorrechten. Klicken Sie dazu auf Start, geben Sie
PowerShellein, klicken Sie mit der rechten Maustaste auf Windows PowerShell und dann auf Als Administrator ausführen.Führen Sie dazu den folgenden Befehl aus.
TcpTestSucceededsollte „true“ zurückgeben.C:\> test-netconnection <host> -port <port>Beispiel:
C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443 ComputerName : malchiteingestion-pa.googleapis.com RemoteAddress : 198.51.100.202 RemotePort : 443 InterfaceAlias : Ethernet SourceAddress : 10.168.0.2 TcpTestSucceeded : True
Sie können die Netzwerkverbindung auch mit dem Google SecOps-Weiterleitungsdienst prüfen:
Starten Sie die Eingabeaufforderung mit Administratorrechten. Klicken Sie dazu auf Start, geben Sie
Command Promptein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.Führen Sie den Google SecOps-Weiterleitungsdienst mit der Option
-testaus, um die Netzwerkverbindung zu prüfen.C:\> .\chronicle_forwarder.exe -test Verify network connection succeeded!
Google SecOps-Weiterleitungsdienst unter Windows installieren
Unter Windows muss die ausführbare Datei des Google SecOps-Weiterleitungsdienstes als Dienst installiert werden.
Kopieren Sie die Datei
chronicle_forwarder.exeund die Konfigurationsdatei in ein Arbeitsverzeichnis.Starten Sie die Eingabeaufforderung mit Administratorrechten. Klicken Sie dazu auf Start, geben Sie
Command Promptein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.Rufen Sie das in Schritt 1 erstellte Arbeitsverzeichnis auf und führen Sie den folgenden Befehl aus, um den Dienst zu installieren:
C:\> .\chronicle_forwarder.exe -install -config FILE_NAMEErsetzen Sie
FILE_NAMEdurch den Namen der Konfigurationsdatei , die Sie erhalten haben.Der Dienst wird unter
C:\Windows\system32\ChronicleForwarderinstalliert.Führen Sie den folgenden Befehl aus, um den Dienst zu starten:
C:\> sc.exe start chronicle_forwarder
Prüfen, ob der Google SecOps-Weiterleitungsdienst ausgeführt wird
Der Google SecOps-Weiterleitungsdienst sollte eine Netzwerkverbindung über Port 443 geöffnet haben und Ihre Daten sollten innerhalb weniger Minuten in der Google SecOps-Weboberfläche angezeigt werden.
Sie haben folgende Möglichkeiten, um zu prüfen, ob der Google SecOps-Weiterleitungsdienst ausgeführt wird:
Task-Manager: Rufen Sie den Tab Prozesse > Hintergrundprozesse > chronicle_forwarder auf.
Ressourcenmonitor: Auf dem Tab Netzwerk sollte die Anwendung
chronicle_forwarder.exeunter Netzwerkaktivität aufgeführt sein (immer wenn die Anwendungchronicle_forwarder.exeeine Verbindung zu Google Cloudherstellt), unter „TCP-Verbindungen“ und unter „Abgehörte Ports“.
Weiterleitungsdienstprotokolle ansehen
Die Protokolldateien des Google SecOps-Weiterleitungsdienstes werden im Ordner C:\Windows\Temp gespeichert. Die Protokolldateien beginnen mit chronicle_forwarder.exe.win-forwarder.
Die Protokolldateien enthalten eine Vielzahl von Informationen, z. B. wann der Weiterleitungsdienst
gestartet wurde und wann er mit dem Senden von Daten an Google Cloudbegonnen hat.
Google SecOps-Weiterleitungsdienst deinstallieren
Führen Sie die folgenden Schritte aus, um den Google SecOps-Weiterleitungsdienst zu deinstallieren:
Öffnen Sie die Eingabeaufforderung im Administratormodus.
Beenden Sie den Google SecOps-Weiterleitungsdienst:
SERVICE_NAME: chronicle_forwarder TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0Rufen Sie das Verzeichnis
C:\Windows\system32\ChronicleForwarderauf und deinstallieren Sie den Google SecOps-Weiterleitungsdienst:C:\> .\chronicle_forwarder.exe -uninstall
Google SecOps-Weiterleitungsdienst aktualisieren
Führen Sie die folgenden Schritte aus, um den Google SecOps-Weiterleitungsdienst zu aktualisieren und dabei Ihre aktuelle Konfigurationsdatei weiter zu verwenden:
Öffnen Sie die Eingabeaufforderung im Administratormodus.
Kopieren Sie Ihre Konfigurationsdatei aus dem Verzeichnis
C:\Windows\system32\ChronicleForwarderin ein anderes Verzeichnis.Beenden Sie den Google SecOps-Weiterleitungsdienst:
C:\> sc.exe stop chronicle_forwarderDeinstallieren Sie den Google SecOps-Weiterleitungsdienst und die Anwendung:
C:\> .\chronicle_forwarder.exe --uninstallLöschen Sie alle Dateien im Verzeichnis
C:\windows\system32\ChronicleForwarder.Kopieren Sie die neue Anwendung
chronicle_forwarder.exeund die ursprüngliche Konfigurationsdatei in ein Arbeitsverzeichnis.Führen Sie im Arbeitsverzeichnis den folgenden Befehl aus:
C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYouStarten Sie den Dienst:
C:\ sc.exe start chronicle_forwarder
Splunk-Daten erfassen
Wenden Sie sich an den Google SecOps Support, um Ihre Google SecOps-Weiterleitungsdienstkonfigurationsdatei so zu aktualisieren, dass Ihre Splunk-Daten an weitergeleitet werden Google Cloud.
Syslog-Daten erfassen
Der Google SecOps-Weiterleitungsdienst kann als Syslog-Server fungieren. Das bedeutet, dass Sie jedes Gerät oder jeden Server, der das Senden von Syslog-Daten über eine TCP- oder UDP-Verbindung unterstützt, so konfigurieren können, dass die Daten an den Google SecOps-Weiterleitungsdienst weitergeleitet werden. Sie können genau festlegen, welche Daten das Gerät oder der Server an den Google SecOps-Weiterleitungsdienst sendet, der die Daten dann an weiterleiten kann Google Cloud.
In der Konfigurationsdatei des Google SecOps-Weiterleitungsdienstes wird angegeben, welche Ports für die einzelnen Arten von weitergeleiteten Daten überwacht werden sollen (z. B. Port 10514). Standardmäßig akzeptiert der Google SecOps-Weiterleitungsdienst sowohl TCP- als auch UDP-Verbindungen. Wenden Sie sich an den Google SecOps Support, um Ihre Google SecOps-Weiterleitungsdienstkonfigurationsdatei so zu aktualisieren, dass Syslog unterstützt wird.
Datenkomprimierung aktivieren/deaktivieren
Durch die Logkomprimierung wird die Bandbreitennutzung im Netzwerk beim Übertragen von Logs an Google SecOps reduziert. Die Komprimierung kann jedoch zu einer erhöhten CPU-Auslastung führen. Der Kompromiss zwischen CPU-Auslastung und Bandbreite hängt von vielen Faktoren ab, z. B. vom Typ der Logdaten, der Komprimierbarkeit dieser Daten, der Verfügbarkeit von CPU-Zyklen auf dem Host, auf dem der Weiterleitungsdienst ausgeführt wird, und der Notwendigkeit, die Bandbreitennutzung im Netzwerk zu reduzieren.
Textbasierte Logs lassen sich beispielsweise gut komprimieren und können bei geringer CPU-Auslastung erhebliche Bandbreite einsparen. Verschlüsselte Nutzlasten von Rohpaketen lassen sich jedoch nicht gut komprimieren und führen zu einer höheren CPU-Auslastung.
Da die meisten Logtypen, die vom Weiterleitungsdienst aufgenommen werden, effizient komprimiert werden können, ist die Logkomprimierung standardmäßig aktiviert, um die Bandbreitennutzung zu reduzieren. Wenn die erhöhte CPU
Auslastung jedoch den Vorteil der Bandbreiteneinsparungen überwiegt, können Sie die Komprimierung
deaktivieren, indem Sie das compression Feld auf false in der Konfigurationsdatei des Google SecOps-Weiterleitungsdienstes setzen, wie im folgenden Beispiel gezeigt:
compression: false
url: malachiteingestion-pa.googleapis.com:443
identity:
identity:
collector_id: 10479925-878c-11e7-9421-10604b7abba1
customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
secret_key: |
{
"type": "service_account",
...
TLS für Syslog-Konfigurationen aktivieren
Sie können Transport Layer Security (TLS) für die Syslog-Verbindung zum Google SecOps-Weiterleitungsdienst aktivieren. Geben Sie in der Konfigurationsdatei des Google SecOps-Weiterleitungsdienstes den Speicherort Ihres Zertifikats und des Zertifikatschlüssels an, wie im folgenden Beispiel gezeigt:
| Zertifikat | C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem |
| certificate_key | C:/opt/chronicle/external/certs/forwarder.key |
Basierend auf dem gezeigten Beispiel würde die Google SecOps-Weiterleitungsdienstkonfiguration so geändert:
collectors:
- syslog:
common:
enabled: true
data_type: WINDOWS_DNS
data_hint:
batch_n_seconds: 10
batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10515
connection_timeout_sec: 60
certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"
Sie können unter dem Konfigurationsverzeichnis ein Verzeichnis „certs“ erstellen und die Zertifikatsdateien dort speichern.
Paketdaten erfassen
Der Google SecOps-Weiterleitungsdienst kann Pakete unter Windows-Systemen mit Npcap direkt von einer Netzwerkschnittstelle erfassen.
Pakete werden erfasst und an Google Cloud anstatt Logeinträgen gesendet. Die Erfassung erfolgt nur über eine lokale Schnittstelle.
Wenden Sie sich an den Google SecOps Support, um Ihre Google SecOps-Weiterleitungsdienstkonfigurationsdatei so zu aktualisieren, dass die Paketerfassung unterstützt wird.
Für die Ausführung eines PCAP-Weiterleitungsdienstes (Packet Capture) benötigen Sie Folgendes:
Installieren Sie Npcap auf dem Microsoft Windows-Host.
Gewähren Sie dem Google SecOps-Weiterleitungsdienst Root- oder Administratorrechte, um die Netzwerkschnittstelle zu überwachen.
Es sind keine Befehlszeilenoptionen erforderlich.
Aktivieren Sie bei der Npcap-Installation den WinPcap-Kompatibilitätsmodus.
Zum Konfigurieren eines PCAP-Weiterleitungsdienstes, Google Cloud benötigt die GUID für die Schnittstelle, die zum Erfassen von Paketen verwendet wird.
Führen Sie getmac.exe auf dem Computer aus, auf dem Sie den Google SecOps-Weiterleitungsdienst installieren möchten
(entweder auf dem Server oder auf dem Computer, der auf dem Span-Port wartet), und senden Sie die Ausgabe an Google SecOps.
Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den PCAP-Abschnitt und ersetzen Sie den GUID-Wert neben der Schnittstelle durch die GUID, die durch Ausführen von „getmac.exe“ angezeigt wird.
Hier ist ein Beispiel für einen ursprünglichen PCAP-Abschnitt:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
bpf: udp port 53
Hier ist die Ausgabe der Ausführung von getmac.exe:
C:\>getmac.exe
Physical Address Transport Name
===========================================================================
A4-73-9F-ED-E1-82 \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}
Und hier ist der überarbeitete PCAP-Abschnitt mit der neuen GUID:
- pcap:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
bpf: udp port 53
WebProxy-Daten erfassen
Der Google SecOps-Weiterleitungsdienst kann WebProxy-Daten mit Npcap direkt von einer Netzwerk schnittstelle erfassen und an senden Google Cloud.
Wenden Sie sich an den Google SecOps Support, um die Erfassung von WebProxy-Daten für Ihr System zu aktivieren.
Führen Sie die folgenden Schritte aus, bevor Sie einen WebProxy-Weiterleitungsdienst ausführen:
Installieren Sie Npcap auf dem Microsoft Windows-Host. Aktivieren Sie während der Installation den WinPcap-Kompatibilitätsmodus.
Gewähren Sie dem Google SecOps-Weiterleitungsdienst Root- oder Administratorrechte, um die Netzwerkschnittstelle zu überwachen.
Zum Konfigurieren eines WebProxy-Weiterleitungsdienstes, Google Cloud benötigt die GUID für die Schnittstelle, die zum Erfassen der WebProxy-Pakete verwendet wird.
Führen Sie
getmac.exeauf dem Computer aus, auf dem Sie den Google SecOps-Weiterleitungsdienst installieren möchten, und senden Sie die Ausgabe an Google SecOps. Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den WebProxy-Abschnitt und ersetzen Sie die GUID neben der Schnittstelle durch die GUID, die nach der Ausführung vongetmac.exeangezeigt wird.Ändern Sie die Konfigurationsdatei des Google SecOps-Weiterleitungsdienstes (
FORWARDER_NAME.conf) so:- webproxy: common: enabled : true data_type: <Your LogType> batch_n_seconds: 10 batch_n_bytes: 1048576 interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734} bpf: tcp and dst port 80
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten