MSRPC-Parameter auf Windows-Hosts

Um die Kommunikation zwischen Ihrem Windows-Host und IBM QRadar über MSRPC zu aktivieren, müssen Sie die RPC-Einstellungen (Remote Procedure Calls) auf dem Windows-Host für das Protokoll Microsoft Remote Procedure Calls (MSRPC) konfigurieren.

Sie müssen ein Mitglied der Administratorgruppe sein, um die Kommunikation über MSRPC zwischen Ihrem Windows-Host und der QRadar -Appliance zu aktivieren.

Auf der Basis von Leistungstests auf einer IBM QRadar QRadar Event Processor 1628 -Appliance mit 128 GB RAM und 40 Kernen (Intel (R) Xeon (R) CPU E5-2680 v2 @ 2.80 GHz) wurde eine Rate von 8500 Ereignissen pro Sekunde (eps) erfolgreich erreicht und gleichzeitig Protokolle von anderen Nicht-Windows-Systemen empfangen und verarbeitet. Der Protokollquellengrenzwert ist 500.
Spezifikation Wert
Hersteller Microsoft
Protokolltyp

Der betriebssystemabhängige Typ des Fernprozedurprotokolls für die Erfassung von Ereignissen.

Wählen Sie eine der folgenden Optionen in der Liste Protokolltyp aus:

MS-EVEN6
Der Standardprotokolltyp für neue Protokollquellen.
Der Protokolltyp, der von QRadar® zur Kommunikation mit Windows Vista und Windows Server 2008 und höher verwendet wird.
MS-EVEN (für Windows XP/2003)
Der Protokolltyp, der von QRadar für die Kommunikation mit Windows XP und Windows Server 2003 verwendet wird.
Windows XP und Windows Server 2003 werden von Microsoft nicht unterstützt. Die Verwendung dieser Option ist möglicherweise nicht erfolgreich.
Automatische Erkennung (für traditionelle Konfigurationen)
Frühere Protokollquellenkonfigurationen für Microsoft Windows Security Event Log DSM verwenden den Protokolltyp auto-detect (for legacy configurations) .
Führen Sie ein Upgrade auf den Protokolltyp MS_EVEN6 oder MS-EVEN (für Windows XP/2003) durch.
Unterstützte Versionen

Windows Server 2022 (einschließlich Core) WinCollect v10.1.2 und höher

Windows Server 2019 (einschließlich Core)

Windows Server 2016 (einschließlich Core)

Windows Server 2012 (einschließlich Core)

Windows 11 WinCollect v10.1.2 und höher

Windows 10
Vorgesehene Anwendung Agentless Event Collection für Windows-Betriebssysteme, die 100 EPS pro Protokollquelle unterstützen können.
Maximale Anzahl unterstützter Protokollquellen 500 MSRPC-Protokollquellen für jeden verwalteten Host (Appliance16xx oder 18xx )
Maximale EPS-Gesamtrate von MSRPC 8500 EPS für jeden verwalteten Host
Besondere Merkmale Unterstützt standardmäßig verschlüsselte Ereignisse.
Erforderliche Berechtigungen Der Benutzer der Protokollquelle muss Mitglied der Gruppe Ereignisprotokollleser sein. Wenn diese Gruppe nicht konfiguriert ist, sind in den meisten Fällen Domänenadministratorberechtigungen erforderlich, um ein Windows-Ereignisprotokoll in einer Domäne abzufragen. In einigen Fällen kann die Gruppe Sicherungsoperatoren auch verwendet werden, je nachdem, wie Microsoft Gruppenrichtlinienobjekte konfiguriert sind.
Benutzer des Betriebssystems Windows XP und 2003 benötigen Lesezugriff auf die folgenden Registrierungsschlüssel:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
Unterstützte Ereignistypen Anwendung

System

Sicherheit

DNS-Server

Dateireplikation

Verzeichnisserviceprotokolle
Voraussetzungen für Windows-Dienste
Verwenden Sie für Windows Server 2008 und Windows Vista die folgenden Dienste:
  • Remote Procedure Call (RPC)
  • RPC EndPoint Mapper

Verwenden Sie für Windows 2003 die Remoteregistrierung und den Server.
Voraussetzungen für Windows-Ports Stellen Sie sicher, dass externe Firewalls zwischen dem Windows-Host und der QRadar -Appliance so konfiguriert sind, dass eingehende und abgehende TCP-Verbindungen an den folgenden Ports zugelassen werden:
Verwenden Sie für Windows Server 2008 und Windows Vista die folgenden Ports:
  • TCP-Port 135
  • TCP-Port, der dynamisch für RPC zugeordnet wird (über 49152).
Verwenden Sie für Windows 2003 die folgenden Ports:
  • TCP-Port 445
  • TCP-Port 139
Automatisch erkannt? Nein
Enthält Identität? Ja
Angepasste Eigenschaften einschließen? Ein Security Content Pack mit benutzerdefinierten Windows-Ereigniseigenschaften ist auf IBM® Fix Central verfügbar.
Erforderliche RPM-Dateien PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Weitere Informationen Microsoft-Support (http://support.microsoft.com/)
Fehlerbehebungstool verfügbar Das MSRPC-Testtool ist Teil des RPM für das MSRPC-Protokoll. Nach der Installation des RPM für das MSRPC-Protokoll finden Sie das MSRPC-Testtool unter /opt/qradar/jars