Ausführbare Datei des Windows-Weiterleitungsdienstes installieren

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie den Google SecOps-Weiterleitungsdienst unter Microsoft Windows installieren und konfigurieren.

Konfigurationsdateien anpassen

Basierend auf den Informationen, die Sie vor der Bereitstellung eingereicht haben, Google Cloud erhalten Sie eine ausführbare Datei und eine optionale Konfigurationsdatei für den Google SecOps-Weiterleitungsdienst. Die ausführbare Datei sollte nur auf dem Host ausgeführt werden, für den sie konfiguriert wurde. Jede ausführbare Datei enthält eine Konfiguration, die spezifisch für die Google SecOps-Weiterleitungsdienstinstanz in Ihrem Netzwerk ist. Wenn Sie die Konfiguration ändern müssen, wenden Sie sich an den Google SecOps Support.

Systemanforderungen

Im Folgenden finden Sie allgemeine Empfehlungen. Wenn Sie Empfehlungen speziell für Ihr System benötigen, wenden Sie sich an den Google SecOps Support.

  • Windows Server-Version: Der Google SecOps-Weiterleitungsdienst wird unter den folgenden Versionen von Microsoft Windows Server unterstützt:

    • 2008 R2

    • 2012 R2

    • 2016

  • RAM: 1,5 GB für jeden erfassten Datentyp. Beispielsweise sind Endpoint Detection and Response (EDR), DNS und DHCP separate Datentypen. Sie benötigen 4,5 GB RAM, um Daten für alle drei zu erfassen.

  • CPU: 2 CPUs reichen aus,um weniger als 10.000 Ereignisse pro Sekunde (EPS) zu verarbeiten (insgesamt für alle Datentypen). Wenn Sie mehr als 10.000 EPS weiterleiten möchten, sind 4 bis 6 CPUs erforderlich.

  • Festplatte: Unabhängig davon, wie viele Daten der Google SecOps-Weiterleitungsdienst verarbeitet, sind 20 GB Festplattenspeicher erforderlich. Der Google SecOps-Weiterleitungsdienst puffert standardmäßig nicht auf der Festplatte, es wird jedoch empfohlen, die Festplattenpufferung zu aktivieren. Sie können das Laufwerk puffern, indem Sie die Parameter write_to_disk_buffer_enabled und write_to_disk_dir_path in der Konfigurationsdatei hinzufügen.

    Beispiel:

    - <collector>:
         common:
             ...
             write_to_disk_buffer_enabled: true
             write_to_disk_dir_path: <var>your_path</var>
             ...
    

Google-IP-Adressbereiche

Möglicherweise benötigen Sie den IP-Adressbereich, der beim Einrichten einer Google SecOps-Weiterleitungsdienstkonfiguration geöffnet werden muss, z. B. beim Einrichten der Konfiguration für Ihre Firewall. Google kann keine bestimmte Liste von IP-Adressen bereitstellen. Sie können jedoch IP-Adressbereiche von Google abrufen.

Firewallkonfiguration prüfen

Wenn sich zwischen dem Google SecOps-Weiterleitungsdienstcontainer und dem Internet Firewalls oder authentifizierte Proxys befinden, sind Regeln erforderlich, um den Zugriff auf die folgenden Google Cloud Hosts zu ermöglichen:

Verbindungstyp Ziel Port
TCP malachiteingestion-pa.googleapis.com 443
TCP asia-northeast1-malachiteingestion-pa.googleapis.com 443
TCP asia-south1-malachiteingestion-pa.googleapis.com 443
TCP asia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP australia-southeast1-malachiteingestion-pa.googleapis.com 443
TCP eu-chronicle.googleapis.com 443
TCP europe-malachiteingestion-pa.googleapis.com 443
TCP europe-west2-malachiteingestion-pa.googleapis.com 443
TCP europe-west3-malachiteingestion-pa.googleapis.com 443
TCP europe-west6-malachiteingestion-pa.googleapis.com 443
TCP europe-west9-malachiteingestion-pa.googleapis.com 443
TCP europe-west12-malachiteingestion-pa.googleapis.com 443
TCP me-central1-malachiteingestion-pa.googleapis.com 443
TCP me-central2-malachiteingestion-pa.googleapis.com 443
TCP me-west1-malachiteingestion-pa.googleapis.com 443
TCP northamerica-northeast2-malachiteingestion-pa.googleapis.com 443
TCP southamerica-east1-malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443
TCP gcr.io 443
TCP cloud.google.com/artifact-registry 443
TCP oauth2.googleapis.com 443
TCP storage.googleapis.com 443

So prüfen Sie die Netzwerkverbindung zu Google Cloud mit den folgenden Schritten:

  1. Starten Sie Windows PowerShell mit Administratorrechten. Klicken Sie dazu auf Start, geben Sie PowerShell ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell und dann auf Als Administrator ausführen.

  2. Führen Sie dazu den folgenden Befehl aus. TcpTestSucceeded sollte „true“ zurückgeben.

    C:\> test-netconnection <host> -port <port>

    Beispiel:

    C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
    ComputerName     : malchiteingestion-pa.googleapis.com
    RemoteAddress    : 198.51.100.202
    RemotePort       : 443
    InterfaceAlias   : Ethernet
    SourceAddress    : 10.168.0.2
    TcpTestSucceeded : True
    

Sie können die Netzwerkverbindung auch mit dem Google SecOps-Weiterleitungsdienst prüfen:

  1. Starten Sie die Eingabeaufforderung mit Administratorrechten. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.

  2. Führen Sie den Google SecOps-Weiterleitungsdienst mit der Option -test aus, um die Netzwerkverbindung zu prüfen.

    C:\> .\chronicle_forwarder.exe -test
    Verify network connection succeeded!
    

Google SecOps-Weiterleitungsdienst unter Windows installieren

Unter Windows muss die ausführbare Datei des Google SecOps-Weiterleitungsdienstes als Dienst installiert werden.

  1. Kopieren Sie die Datei chronicle_forwarder.exe und die Konfigurationsdatei in ein Arbeitsverzeichnis.

  2. Starten Sie die Eingabeaufforderung mit Administratorrechten. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.

  3. Rufen Sie das in Schritt 1 erstellte Arbeitsverzeichnis auf und führen Sie den folgenden Befehl aus, um den Dienst zu installieren:

    C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
    

    Ersetzen Sie FILE_NAME durch den Namen der Konfigurationsdatei , die Sie erhalten haben.

    Der Dienst wird unter C:\Windows\system32\ChronicleForwarder installiert.

  4. Führen Sie den folgenden Befehl aus, um den Dienst zu starten:

    C:\> sc.exe start chronicle_forwarder
    

Prüfen, ob der Google SecOps-Weiterleitungsdienst ausgeführt wird

Der Google SecOps-Weiterleitungsdienst sollte eine Netzwerkverbindung über Port 443 geöffnet haben und Ihre Daten sollten innerhalb weniger Minuten in der Google SecOps-Weboberfläche angezeigt werden.

Sie haben folgende Möglichkeiten, um zu prüfen, ob der Google SecOps-Weiterleitungsdienst ausgeführt wird:

  • Task-Manager: Rufen Sie den Tab Prozesse > Hintergrundprozesse > chronicle_forwarder auf.

  • Ressourcenmonitor: Auf dem Tab Netzwerk sollte die Anwendung chronicle_forwarder.exe unter Netzwerkaktivität aufgeführt sein (immer wenn die Anwendung chronicle_forwarder.exe eine Verbindung zu Google Cloudherstellt), unter „TCP-Verbindungen“ und unter „Abgehörte Ports“.

Weiterleitungsdienstprotokolle ansehen

Die Protokolldateien des Google SecOps-Weiterleitungsdienstes werden im Ordner C:\Windows\Temp gespeichert. Die Protokolldateien beginnen mit chronicle_forwarder.exe.win-forwarder. Die Protokolldateien enthalten eine Vielzahl von Informationen, z. B. wann der Weiterleitungsdienst gestartet wurde und wann er mit dem Senden von Daten an Google Cloudbegonnen hat.

Google SecOps-Weiterleitungsdienst deinstallieren

Führen Sie die folgenden Schritte aus, um den Google SecOps-Weiterleitungsdienst zu deinstallieren:

  1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

  2. Beenden Sie den Google SecOps-Weiterleitungsdienst:

    SERVICE_NAME: chronicle_forwarder
    TYPE               : 10  WIN32_OWN_PROCESS
    STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0
    
  3. Rufen Sie das Verzeichnis C:\Windows\system32\ChronicleForwarder auf und deinstallieren Sie den Google SecOps-Weiterleitungsdienst: C:\> .\chronicle_forwarder.exe -uninstall

Google SecOps-Weiterleitungsdienst aktualisieren

Führen Sie die folgenden Schritte aus, um den Google SecOps-Weiterleitungsdienst zu aktualisieren und dabei Ihre aktuelle Konfigurationsdatei weiter zu verwenden:

  1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

  2. Kopieren Sie Ihre Konfigurationsdatei aus dem Verzeichnis C:\Windows\system32\ChronicleForwarder in ein anderes Verzeichnis.

  3. Beenden Sie den Google SecOps-Weiterleitungsdienst:

    C:\> sc.exe stop chronicle_forwarder
    
  4. Deinstallieren Sie den Google SecOps-Weiterleitungsdienst und die Anwendung:

    C:\> .\chronicle_forwarder.exe --uninstall
    
  5. Löschen Sie alle Dateien im Verzeichnis C:\windows\system32\ChronicleForwarder.

  6. Kopieren Sie die neue Anwendung chronicle_forwarder.exe und die ursprüngliche Konfigurationsdatei in ein Arbeitsverzeichnis.

  7. Führen Sie im Arbeitsverzeichnis den folgenden Befehl aus:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
    
  8. Starten Sie den Dienst:

    C:\ sc.exe start chronicle_forwarder
    

Splunk-Daten erfassen

Wenden Sie sich an den Google SecOps Support, um Ihre Google SecOps-Weiterleitungsdienstkonfigurationsdatei so zu aktualisieren, dass Ihre Splunk-Daten an weitergeleitet werden Google Cloud.

Syslog-Daten erfassen

Der Google SecOps-Weiterleitungsdienst kann als Syslog-Server fungieren. Das bedeutet, dass Sie jedes Gerät oder jeden Server, der das Senden von Syslog-Daten über eine TCP- oder UDP-Verbindung unterstützt, so konfigurieren können, dass die Daten an den Google SecOps-Weiterleitungsdienst weitergeleitet werden. Sie können genau festlegen, welche Daten das Gerät oder der Server an den Google SecOps-Weiterleitungsdienst sendet, der die Daten dann an weiterleiten kann Google Cloud.

In der Konfigurationsdatei des Google SecOps-Weiterleitungsdienstes wird angegeben, welche Ports für die einzelnen Arten von weitergeleiteten Daten überwacht werden sollen (z. B. Port 10514). Standardmäßig akzeptiert der Google SecOps-Weiterleitungsdienst sowohl TCP- als auch UDP-Verbindungen. Wenden Sie sich an den Google SecOps Support, um Ihre Google SecOps-Weiterleitungsdienstkonfigurationsdatei so zu aktualisieren, dass Syslog unterstützt wird.

Datenkomprimierung aktivieren/deaktivieren

Durch die Logkomprimierung wird die Bandbreitennutzung im Netzwerk beim Übertragen von Logs an Google SecOps reduziert. Die Komprimierung kann jedoch zu einer erhöhten CPU-Auslastung führen. Der Kompromiss zwischen CPU-Auslastung und Bandbreite hängt von vielen Faktoren ab, z. B. vom Typ der Logdaten, der Komprimierbarkeit dieser Daten, der Verfügbarkeit von CPU-Zyklen auf dem Host, auf dem der Weiterleitungsdienst ausgeführt wird, und der Notwendigkeit, die Bandbreitennutzung im Netzwerk zu reduzieren.

Textbasierte Logs lassen sich beispielsweise gut komprimieren und können bei geringer CPU-Auslastung erhebliche Bandbreite einsparen. Verschlüsselte Nutzlasten von Rohpaketen lassen sich jedoch nicht gut komprimieren und führen zu einer höheren CPU-Auslastung.

Da die meisten Logtypen, die vom Weiterleitungsdienst aufgenommen werden, effizient komprimiert werden können, ist die Logkomprimierung standardmäßig aktiviert, um die Bandbreitennutzung zu reduzieren. Wenn die erhöhte CPU Auslastung jedoch den Vorteil der Bandbreiteneinsparungen überwiegt, können Sie die Komprimierung deaktivieren, indem Sie das compression Feld auf false in der Konfigurationsdatei des Google SecOps-Weiterleitungsdienstes setzen, wie im folgenden Beispiel gezeigt:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

TLS für Syslog-Konfigurationen aktivieren

Sie können Transport Layer Security (TLS) für die Syslog-Verbindung zum Google SecOps-Weiterleitungsdienst aktivieren. Geben Sie in der Konfigurationsdatei des Google SecOps-Weiterleitungsdienstes den Speicherort Ihres Zertifikats und des Zertifikatschlüssels an, wie im folgenden Beispiel gezeigt:

Zertifikat C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem
certificate_key C:/opt/chronicle/external/certs/forwarder.key

Basierend auf dem gezeigten Beispiel würde die Google SecOps-Weiterleitungsdienstkonfiguration so geändert:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Sie können unter dem Konfigurationsverzeichnis ein Verzeichnis „certs“ erstellen und die Zertifikatsdateien dort speichern.

Paketdaten erfassen

Der Google SecOps-Weiterleitungsdienst kann Pakete unter Windows-Systemen mit Npcap direkt von einer Netzwerkschnittstelle erfassen.

Pakete werden erfasst und an Google Cloud anstatt Logeinträgen gesendet. Die Erfassung erfolgt nur über eine lokale Schnittstelle.

Wenden Sie sich an den Google SecOps Support, um Ihre Google SecOps-Weiterleitungsdienstkonfigurationsdatei so zu aktualisieren, dass die Paketerfassung unterstützt wird.

Für die Ausführung eines PCAP-Weiterleitungsdienstes (Packet Capture) benötigen Sie Folgendes:

  • Installieren Sie Npcap auf dem Microsoft Windows-Host.

  • Gewähren Sie dem Google SecOps-Weiterleitungsdienst Root- oder Administratorrechte, um die Netzwerkschnittstelle zu überwachen.

  • Es sind keine Befehlszeilenoptionen erforderlich.

  • Aktivieren Sie bei der Npcap-Installation den WinPcap-Kompatibilitätsmodus.

Zum Konfigurieren eines PCAP-Weiterleitungsdienstes, Google Cloud benötigt die GUID für die Schnittstelle, die zum Erfassen von Paketen verwendet wird. Führen Sie getmac.exe auf dem Computer aus, auf dem Sie den Google SecOps-Weiterleitungsdienst installieren möchten (entweder auf dem Server oder auf dem Computer, der auf dem Span-Port wartet), und senden Sie die Ausgabe an Google SecOps.

Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den PCAP-Abschnitt und ersetzen Sie den GUID-Wert neben der Schnittstelle durch die GUID, die durch Ausführen von „getmac.exe“ angezeigt wird.

Hier ist ein Beispiel für einen ursprünglichen PCAP-Abschnitt:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Hier ist die Ausgabe der Ausführung von getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Und hier ist der überarbeitete PCAP-Abschnitt mit der neuen GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

WebProxy-Daten erfassen

Der Google SecOps-Weiterleitungsdienst kann WebProxy-Daten mit Npcap direkt von einer Netzwerk schnittstelle erfassen und an senden Google Cloud.

Wenden Sie sich an den Google SecOps Support, um die Erfassung von WebProxy-Daten für Ihr System zu aktivieren.

Führen Sie die folgenden Schritte aus, bevor Sie einen WebProxy-Weiterleitungsdienst ausführen:

  1. Installieren Sie Npcap auf dem Microsoft Windows-Host. Aktivieren Sie während der Installation den WinPcap-Kompatibilitätsmodus.

  2. Gewähren Sie dem Google SecOps-Weiterleitungsdienst Root- oder Administratorrechte, um die Netzwerkschnittstelle zu überwachen.

  3. Zum Konfigurieren eines WebProxy-Weiterleitungsdienstes, Google Cloud benötigt die GUID für die Schnittstelle, die zum Erfassen der WebProxy-Pakete verwendet wird.

    Führen Sie getmac.exe auf dem Computer aus, auf dem Sie den Google SecOps-Weiterleitungsdienst installieren möchten, und senden Sie die Ausgabe an Google SecOps. Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den WebProxy-Abschnitt und ersetzen Sie die GUID neben der Schnittstelle durch die GUID, die nach der Ausführung von getmac.exe angezeigt wird.

    Ändern Sie die Konfigurationsdatei des Google SecOps-Weiterleitungsdienstes (FORWARDER_NAME.conf) so:

      - webproxy:
        common:
            enabled : true
            data_type: <Your LogType>
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
          bpf: tcp and dst port 80
    

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten