Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

קובץ הפעלה של Google SecOps forwarder ל-Windows

נתמך ב:

Google secops SIEM

שימו לב: הוצאנו את המעביר משימוש. רכיב ההעברה יוצא בהדרגה משימוש בפלטפורמת Google SecOps, ויגיע לסוף חיי המוצר (EOL) בינואר 2027. 1 באפריל 2026: לקוחות חדשים של Google SecOps לא יכולים להשתמש ברכיב המעביר. ‫1 בינואר 2027: תאריך סיום התמיכה הרשמי של הכלי להעברת נתונים. לא יפורסמו תיקונים נוספים, כולל תיקונים לפגיעויות באבטחה. 1 באפריל 2027: אי אפשר יותר להעביר נתונים מרכיב ההעברה. ‫Google ממליצה להשתמש ב-Bindplane for Google SecOps כפתרון העיקרי לאיסוף יומנים. מידע נוסף זמין במאמר שימוש ב-Bindplane עם Google SecOps.

במאמר הזה מוסבר איך להתקין ולהגדיר את כלי ההעברה של Google SecOps ב-Microsoft Windows.

התאמה אישית של קובצי התצורה

על סמך המידע ששלחתם לפני הפריסה, Google Cloud אנחנו מספקים לכם קובץ הפעלה וקובץ הגדרה אופציונלי עבור Google Cloud העברת נתונים ב-Google SecOps. קובץ ההפעלה צריך לפעול רק במארח שהוא הוגדר עבורו. כל קובץ הפעלה כולל הגדרה ספציפית למופע של Google SecOps Forwarder ברשת שלכם. אם אתם צריכים לשנות את ההגדרה, פנו לתמיכה של Google SecOps.

דרישות מערכת

ההמלצות הבאות הן כלליות. כדי לקבל המלצות ספציפיות למערכת שלכם, אפשר לפנות אל התמיכה של Google SecOps.

גרסת Windows Server: יש תמיכה ב-Google SecOps forwarder בגרסאות הבאות של Microsoft Windows Server:
- ‫2008 R2
- 2012 R2
- 2016
זיכרון RAM: ‏ 1.5GB לכל סוג נתונים שנאסף. לדוגמה, זיהוי נקודות קצה ותגובה (EDR),‏ DNS ו-DHCP הם סוגי נתונים נפרדים. כדי לאסוף נתונים לכל שלושת המכשירים, צריך זיכרון RAM בנפח 4.5GB.
מעבד: שני מעבדים מספיקים לטיפול בפחות מ-10,000 אירועים לשנייה (EPS) (סך הכול לכל סוגי הנתונים). אם אתם צופים להעביר יותר מ-10,000 אירועים לשנייה, תצטרכו 4 עד 6 מעבדים.
דיסק: נדרש נפח אחסון של 20GB, ללא קשר לכמות הנתונים שמטפל בהם מעביר הנתונים של Google SecOps. מעביר הנתונים של Google SecOps לא מבצע שמירת נתונים זמנית בדיסק כברירת מחדל, אבל מומלץ להפעיל שמירת נתונים זמנית בדיסק. אפשר לשמור נתונים זמנית בדיסק על ידי הוספת הפרמטרים write_to_disk_buffer_enabled ו-write_to_disk_dir_path בקובץ ההגדרות.

לדוגמה:
```
- <collector>:
     common:
         ...
         write_to_disk_buffer_enabled: true
         write_to_disk_dir_path: <var>your_path</var>
         ...
```

טווחי כתובות IP של Google

יכול להיות שתצטרכו את טווח כתובות ה-IP כדי לפתוח אותו כשמגדירים העברה ב-Google SecOps, למשל כשמגדירים את חומת האש. Google לא יכולה לספק רשימה ספציפית של כתובות IP, אבל אפשר לקבל טווחי כתובות IP של Google.

אימות ההגדרות של חומת האש

אם יש לכם חומות אש או שרתי proxy מאומתים בין מאגר המעביר של Google SecOps לבין האינטרנט, צריך להגדיר כללים שיאפשרו גישה למארחים הבאים Google Cloud :

סוג החיבור	יעד	יציאה
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	eu-chronicle.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	europe-west9-malachiteingestion-pa.googleapis.com	443
TCP	europe-west12-malachiteingestion-pa.googleapis.com	443
TCP	me-central1-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	southamerica-east1-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	cloud.google.com/artifact-registry	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

כדי לבדוק את החיבור לרשת Google Cloud :

מפעילים את Windows PowerShell עם הרשאות אדמין (לוחצים על Start, מקלידים PowerShell, לוחצים לחיצה ימנית על Windows PowerShell ואז לוחצים על Run as administrator).

מריצים את הפקודה הבאה. הפונקציה TcpTestSucceeded צריכה להחזיר את הערך true.

C:\> test-netconnection <host> -port <port>

לדוגמה:

C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
ComputerName     : malchiteingestion-pa.googleapis.com
RemoteAddress    : 198.51.100.202
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 10.168.0.2
TcpTestSucceeded : True

אפשר גם להשתמש ב-Google SecOps forwarder כדי לבדוק את הקישוריות לרשת:

מפעילים את שורת הפקודה עם הרשאות אדמין (לוחצים על התחל, מקלידים Command Prompt, לוחצים לחיצה ימנית על שורת הפקודה ולוחצים על הפעלה כמנהל).
כדי לאמת את הקישוריות לרשת, מריצים את המעביר של Google SecOps עם האפשרות -test.
```
C:\> .\chronicle_forwarder.exe -test
Verify network connection succeeded!
```

התקנה של מעביר הנתונים של Google SecOps ב-Windows

ב-Windows, צריך להתקין את קובץ ההפעלה של Google SecOps forwarder כשירות.

מעתיקים את קובץ chronicle_forwarder.exe ואת קובץ ההגדרות לספריית עבודה.
מפעילים את שורת הפקודה עם הרשאות אדמין (לוחצים על התחל, מקלידים Command Prompt, לוחצים לחיצה ימנית על שורת הפקודה ולוחצים על הפעלה כמנהל).
כדי להתקין את השירות, עוברים לספריית העבודה שיצרתם בשלב 1 ומריצים את הפקודה הבאה:
```
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
```
מחליפים את FILE_NAME בשם של קובץ התצורה שקיבלתם.

השירות מותקן ב-C:\Windows\system32\ChronicleForwarder.
כדי להפעיל את השירות, מריצים את הפקודה הבאה:
```
C:\> sc.exe start chronicle_forwarder
```

אימות שמעביר הנתונים של Google SecOps פועל

למעביר של Google SecOps צריך להיות חיבור רשת פתוח ביציאה 443, והנתונים שלכם אמורים להופיע בממשק האינטרנט של Google SecOps תוך כמה דקות.

אפשר לוודא שמעביר הנתונים של Google SecOps פועל באמצעות אחת מהשיטות הבאות:

מנהל המשימות: עוברים לכרטיסייה Processes (תהליכים) > Background processes (תהליכים ברקע) > chronicle_forwarder.
הכלי 'ניטור משאבים': בכרטיסייה רשת, האפליקציה chronicle_forwarder.exe אמורה להופיע בקטע פעילות ברשת (בכל פעם שהאפליקציה chronicle_forwarder.exe מתחברת אל Google Cloud), בקטע 'חיבורי TCP' ובקטע 'יציאות האזנה'.

צפייה ביומנים של המעביר

קבצי היומן של Google SecOps forwarder מאוחסנים בתיקייה C:\Windows\Temp. קובצי היומן מתחילים ב-chronicle_forwarder.exe.win-forwarder. קבצי היומן מספקים מגוון מידע, כולל מתי הופעל המעביר ומתי הוא התחיל לשלוח נתונים אל Google Cloud.

הסרת המעביר של Google SecOps

כדי להסיר את שירות ההעברה של Google SecOps, מבצעים את השלבים הבאים:

פותחים את שורת הפקודה במצב אדמין.

מפסיקים את שירות ההעברה של Google SecOps:

SERVICE_NAME: chronicle_forwarder
TYPE               : 10  WIN32_OWN_PROCESS
STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x0

מנווטים לספרייה C:\Windows\system32\ChronicleForwarder ומסירים את ההתקנה של שירות ההעברה של Google SecOps: C:\> .\chronicle_forwarder.exe -uninstall

שדרוג המעביר של Google SecOps

כדי לשדרג את המעביר של Google SecOps ולהמשיך להשתמש בקובץ התצורה הנוכחי, מבצעים את השלבים הבאים:

פותחים את שורת הפקודה במצב אדמין.
מעתיקים את קובץ ההגדרות מהספרייה C:\Windows\system32\ChronicleForwarder לספרייה אחרת.
מפסיקים את מעביר הנתונים של Google SecOps:
```
C:\> sc.exe stop chronicle_forwarder
```
מסירים את שירות ההעברה ואת האפליקציה של Google SecOps:
```
C:\> .\chronicle_forwarder.exe --uninstall
```
מחיקה של כל הקבצים בספרייה C:\windows\system32\ChronicleForwarder.
מעתיקים את אפליקציית chronicle_forwarder.exe החדשה ואת קובץ ההגדרות המקורי לספריית עבודה.

מריצים את הפקודה הבאה מספריית העבודה:

C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

מפעילים את השירות:
```
C:\ sc.exe start chronicle_forwarder
```

איסוף נתונים מ-Splunk

צריך לפנות אל התמיכה של Google SecOps כדי לעדכן את קובץ ההגדרות של המעביר של Google SecOps, כך שהנתונים של Splunk יועברו אל Google Cloud.

איסוף נתוני syslog

המעביר של Google SecOps יכול לפעול כשרת syslog, כלומר אתם יכולים להגדיר כל מכשיר או שרת שתומכים בשליחת נתוני syslog דרך חיבור TCP או UDP כדי להעביר את הנתונים שלהם למעביר של Google SecOps. אתם יכולים לקבוע בדיוק אילו נתונים ישלחו מהמכשיר או מהשרת אל מעביר הנתונים של Google SecOps, שיוכל להעביר את הנתונים אל Google Cloud.

בקובץ התצורה של המעביר ב-Google SecOps מצוינות היציאות שצריך לנטר עבור כל סוג של נתונים שמועברים (לדוגמה, יציאה 10514). כברירת מחדל, המעביר של Google SecOps מקבל חיבורי TCP ו-UDP. כדי לעדכן את קובץ ההגדרות של המעביר ב-Google SecOps כך שיתמוך ב-syslog, צריך לפנות אל התמיכה של Google SecOps.

החלפת המצב של דחיסת נתונים

דחיסת יומנים מצמצמת את רוחב הפס ברשת כשמעבירים יומנים ל-Google SecOps. עם זאת, דחיסה עלולה להגדיל את השימוש במעבד. האיזון בין השימוש במעבד לבין רוחב הפס תלוי בגורמים רבים, כולל סוג נתוני היומן, יכולת הדחיסה של הנתונים האלה, הזמינות של מחזורי המעבד במארח שבו פועל המעביר והצורך בצמצום השימוש ברוחב הפס ברשת.

לדוגמה, יומנים מבוססי-טקסט עוברים דחיסה טובה ויכולים לחסוך רוחב פס משמעותי עם שימוש נמוך במעבד. עם זאת, מטענים מוצפנים של מנות גולמיות לא עוברים דחיסה טובה וגורמים לשימוש גבוה יותר במעבד.

מכיוון שרוב סוגי היומנים שמועברים על ידי המעביר ניתנים לדחיסה יעילה, דחיסת היומנים מופעלת כברירת מחדל כדי לצמצם את רוחב הפס. עם זאת, אם השימוש המוגבר במעבד (CPU) עולה על היתרון של החיסכון ברוחב הפס, אפשר להשבית את הדחיסה על ידי הגדרת השדה compression לערך false בקובץ ההגדרות של המעביר של Google SecOps, כמו שמוצג בדוגמה הבאה:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

הפעלת TLS להגדרות של syslog

אתם יכולים להפעיל Transport Layer Security ‏ (TLS) לחיבור syslog למעביר של Google SecOps. בקובץ ההגדרות של המעביר של Google SecOps, מציינים את המיקום של האישור ומפתח האישור, כמו בדוגמה הבאה:

אישור	`C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem`
certificate_key	`C:/opt/chronicle/external/certs/forwarder.key`

על סמך הדוגמה שמוצגת, ההגדרה של מעביר הנתונים של Google SecOps תשתנה באופן הבא:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

אפשר ליצור ספרייה בשם certs בספריית ההגדרות ולאחסן בה את קובצי האישורים.

איסוף נתוני מנות

הכלי להעברת נתונים ב-Google SecOps יכול ללכוד מנות ישירות מממשק רשת באמצעות Npcap במערכות Windows.

החבילות נלכדות ונשלחות אל Google Cloud במקום אל רשומות היומן. הצילום מתבצע רק מממשק מקומי.

כדי לעדכן את קובץ ההגדרות של המעביר ב-Google SecOps כך שיתמוך בלכידת מנות, צריך לפנות אל התמיכה של Google SecOps.

כדי להריץ מעביר של תיעוד חבילות (PCAP), אתם צריכים:

מתקינים את Npcap במארח Microsoft Windows.
צריך להעניק למעביר של Google SecOps הרשאות אדמין או הרשאות בסיסיות כדי לנטר את ממשק הרשת.
אין צורך באפשרויות של שורת הפקודה.
במהלך ההתקנה של Npcap, מפעילים את מצב התאימות של WinPcap.

כדי להגדיר מעביר PCAP,צריך את ה-GUID של הממשק שמשמש ללכידת חבילות. Google Cloud מריצים את הפקודה getmac.exe במכונה שבה מתכננים להתקין את המעביר של Google SecOps (השרת או המכונה שמקשיבים ליציאת ה-SPAN) ושולחים את הפלט אל Google SecOps.

אפשרות אחרת היא לשנות את קובץ התצורה. מאתרים את הקטע PCAP ומחליפים את ערך ה-GUID שמוצג לצד interface ב-GUID שמוצג אחרי הפעלת getmac.exe.

לדוגמה, הנה קטע PCAP מקורי:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

זה הפלט שמתקבל מהרצת הפקודה getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

ולבסוף, הנה הקטע המעודכן של PCAP עם ה-GUID החדש:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

איסוף נתונים של WebProxy

הכלי להעברת נתונים של Google SecOps יכול ללכוד נתונים של WebProxy ישירות מממשק רשת באמצעות Npcap ולשלוח אותם אל Google Cloud.

כדי להפעיל את האפשרות ללכידת נתונים של WebProxy במערכת, צריך לפנות אל התמיכה של Google SecOps.

לפני שמפעילים WebProxy forwarder, צריך:

מתקינים את Npcap במארח Microsoft Windows. מפעילים את מצב התאימות של WinPcap במהלך ההתקנה.
צריך להעניק הרשאות root או הרשאות אדמין למעביר של Google SecOps כדי לנטר את ממשק הרשת.
כדי להגדיר העברה של WebProxy, Google Cloud צריך את ה-GUID של הממשק שמשמש ללכידת חבילות WebProxy.

מריצים את הפקודה getmac.exe במכונה שבה רוצים להתקין את כלי ההעברה של Google SecOps ושולחים את הפלט אל Google SecOps. אפשרות נוספת היא לשנות את קובץ התצורה. מאתרים את הקטע WebProxy ומחליפים את ה-GUID שמוצג לצד הממשק ב-GUID שמוצג אחרי שמריצים את הפקודה getmac.exe.

משנים את קובץ ההגדרות של המעביר של Google SecOps‏ (FORWARDER_NAME.conf) באופן הבא:
```
  - webproxy:
    common:
        enabled : true
        data_type: <Your LogType>
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
      bpf: tcp and dst port 80
```

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.