Microsoft Windows Security Event Log
Das IBM QRadar DSM für Microsoft Windows Security Event Log akzeptiert Syslog-Ereignisse von Microsoft Windows -Systemen. Alle Ereignisse, einschließlich Sysmon und winlogbeats.json, werden unterstützt.
Wichtig: Die Unterstützung für die Windows-Ereignisprotokollprotokolle wurde am 31. Oktober 2022 beendet. Um die Erfassung von Ereignissen im Windows-Ereignisprotokoll fortzusetzen, müssen Sie in der Liste der unterstützten Protokolle einen neuen Protokolltyp auswählen. Weitere Informationen zum Ende des Supports finden Sie unter QRadar : Ankündigung zum Ende des Supports für die auf „ WMI “ basierenden Protokolle für das Sicherheitsereignisprotokoll von „ Microsoft Windows “ (31. Oktober 2022) ( https://www.ibm.com/support/pages/node/6616223 ).
Für die Ereigniserfassung von Microsoft-Betriebssystemen unterstützt QRadar die folgenden Protokolle:
- Syslog (vorgesehen für Snare, BalaBit, und andere Windows-Lösungen von Drittanbietern).
- Weitergeleitet. Weitere Informationen finden Sie unter Konfigurationsoptionen für weitergeleitete Protokolle.
- TLS Syslog. Weitere Informationen finden Sie unter TLS unter „Konfigurationsoptionen für das Syslog-Protokoll“.
- TCP Mehrzeiliges Syslog. Weitere Informationen finden Sie unter TCP unter den Konfigurationsoptionen für das mehrzeilige Syslog-Protokoll.
- MSRPC (Microsoft-Sicherheitsereignisprotokoll über MSRPC). Weitere Informationen finden Sie unter Microsoft Security Event Log über MSRPC-Protokoll.
- WinCollect. Siehe IBM QRadar WinCollect User Guide.
- WinCollect NetApp Data ONTAP. Siehe IBM QRadar WinCollect User Guide.
- Amazon Web Services -Protokoll von AWS CloudWatch. Weitere Informationen finden Sie unter Amazon Web Services Protokollkonfigurationsoptionen und Wie lade ich meine Windows-Protokolle zu CloudWatch? (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
- Microsoft Azure -Ereignishubs. Weitere Informationen finden Sie unter Microsoft Azure Event Hubs-Protokollkonfigurationsoptionen und unter Install and configure Windows Azure diagnostics extension (WAD)- Azure Monitor (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install).
Stellen Sie sicher, dass Sie über ein Azure -Speicherkonto und einen Azure -Ereignishub verfügen.
- Optional: Erstellen Sie ein Speicherkonto. Weitere Informationen finden Sie unter Speicherkonto erstellen (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).Wichtig: Sie müssen über ein Speicherkonto verfügen, um eine Verbindung zu einem Event Hub herzustellen. Weitere Informationen finden Sie unter Häufig gestellte Fragen zumMicrosoft Azure Event Hubs-Protokoll.
- Optional: Erstellen Sie einen Event Hub. Weitere Informationen finden Sie unter Quickstart: Erstellen eines Event Hub mithilfe des Azure -Portals (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create).
- Optional: Erstellen Sie ein Speicherkonto. Weitere Informationen finden Sie unter Speicherkonto erstellen (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).