Parámetros MSRPC en hosts Windows
Para habilitar la comunicación entre el host de Windows y IBM QRadar a través de MSRPC, configure los valores de Llamadas a procedimiento remoto (RPC) en el host de Windows para el protocolo Microsoft Remote Procedure Calls (MSRPC).
Debe ser miembro del grupo de administradores para habilitar la comunicación a través de MSRPC entre el host de Windows y el dispositivo QRadar .
| Especificación | Valor |
|---|---|
| Fabricante | Microsoft |
| Tipo de protocolo | El tipo dependiente del sistema operativo del protocolo de procedimiento remoto para la recopilación de sucesos. Seleccione una de las opciones siguientes en la lista Tipo de protocolo :
|
| Versiones soportadas | Windows Server 2022 (incluido Core) WinCollect v10.1.2 y superior Windows Server 2019 (incluido Core) Windows Server 2016 (incluido Core) Windows Server 2012 (incluido Core) Windows 11 WinCollect v10.1.2 y superior Windows 10 |
| Aplicación prevista | Recopilación de sucesos sin agentes para sistemas operativos Windows que pueden dar soporte a 100 EPS por origen de registro. |
| Número máximo de orígenes de registro soportados | 500 orígenes de registro de protocolo MSRPC para cada host gestionado (dispositivo16xx o 18xx ) |
| Velocidad máxima de EPS global de MSRPC | 8500 EPS para cada host gestionado |
| Características especiales | Da soporte a sucesos cifrados de forma predeterminada. |
| Permisos necesarios | El usuario de origen de registro debe ser miembro del grupo Lectores de registro de sucesos . Si este grupo no está configurado, los privilegios de administrador de dominio son necesarios en la mayoría de los casos para sondear un registro de sucesos de Windows en un dominio. En algunos casos, el grupo Operadores de copia de seguridad también se puede utilizar en función de cómo se hayan configurado los objetos de política de grupo de Microsoft. Los usuarios del sistema operativo Windows XP y 2003 necesitan acceso de lectura a las siguientes claves de registro:
|
| Tipos de sucesos soportados | Aplicación Sistema Seguridad Servidor DNS Réplica de archivo Registros de servicio de directorio |
| Requisitos de servicio de Windows | Para Windows Server 2008 y Windows Vista, utilice los servicios siguientes:
Para Windows 2003, utilice el registro remoto y el servidor. |
| Requisitos de puerto de Windows | Asegúrese de que los cortafuegos externos entre el host de Windows y el dispositivo QRadar estén configurados para permitir conexiones TCP entrantes y salientes en los puertos siguientes: Para Windows Server 2008 y Windows Vista, utilice los puertos siguientes:
Para Windows 2003, utilice los puertos siguientes:
|
| ¿Descubierto automáticamente? | Nee |
| ¿Incluye identidad? | Sí |
| ¿Incluye propiedades personalizadas? | En IBM® Fix Central hay disponible un paquete de contenido de seguridad con propiedades de eventos personalizados de Windows. |
| Archivos RPM necesarios | PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm |
| Más información | Soporte de Microsoft (http://support.microsoft.com/) |
| Herramienta de resolución de problemas disponible | La herramienta de prueba MSRPC forma parte del RPM de protocolo MSRPC. Después de la instalación del RPM de protocolo MSRPC, la herramienta de prueba MSRPC se puede encontrar en /opt/qradar/jars |