Registros de sucesos de seguridad de Microsoft Windows
El registro de sucesos de seguridad de IBM QRadar DSM for Microsoft Windows acepta sucesos de syslog de sistemas Microsoft Windows . Todos los sucesos, incluidos Sysmon y winlogbeats.json, están soportados.
Importante: El soporte para los protocolos del registro de sucesos de Windows finalizó el 31 de octubre de 2022. Para continuar recopilando sucesos del registro de sucesos de Windows, debe seleccionar un nuevo tipo de protocolo en la lista de protocolos soportados. Para obtener más información sobre el fin del soporte, consulte QRadar: Anuncio de fin de vida para los protocolos de registro de sucesos de seguridad de Microsoft Windows basados en WMI (31 de octubre de 2022) (https://www.ibm.com/support/pages/node/6616223).
Para la recopilación de sucesos de sistemas operativos Microsoft, QRadar da soporte a los protocolos siguientes:
- Syslog (Destinado a Snare, BalaBit, y otras soluciones de terceros para Windows).
- Reenviado. Para obtener más información, consulte Opciones de configuración de protocolo reenviado.
- Syslog TLS. Para obtener más información, consulte Opciones de configuración del protocolo TLS Syslog.
- Syslog multilínea TCP. Para obtener más información, consulte Opciones de configuración del protocolo TCP Multiline Syslog.
- MSRPC (Registro de sucesos de seguridad de Microsoft sobre MSRPC). Para obtener más información, consulte Registro de eventos de seguridad de Microsoft a través del protocolo MSRPC.
- WinCollect. Consulte la publicación IBM QRadar WinCollect User Guide.
- WinCollect NetApp Data ONTAP. Consulte la publicación IBM QRadar WinCollect User Guide.
- Protocolo Amazon Web Services de AWS CloudWatch. Para obtener más información, consulte Amazon Web Services y ¿Cómo subo mis registros de Windows a CloudWatch? (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
- Microsoft Azure Event Hubs. Para obtener más información, consulte Opciones de configuración del protocoloMicrosoft Azure Event Hubs y Instalar y configurar Windows Azure Diagnostics Extension (WAD)- Azure Monitor (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install).
Asegúrese de que tiene una cuenta de almacenamiento de Azure y un concentrador de sucesos de Azure .
- Opcional: Cree una cuenta de almacenamiento. Para obtener más información, consulte Crear una cuenta de almacenamiento (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).Importante: Debe tener una cuenta de almacenamiento para conectarse a un concentrador de sucesos. Para obtener más información, consulte Preguntas frecuentes del protocoloMicrosoft Azure Event Hubs.
- Opcional: Cree un concentrador de sucesos. Para obtener más información, consulte Inicio rápido: Crear un concentrador de sucesos utilizando el portal Azure (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create).
- Opcional: Cree una cuenta de almacenamiento. Para obtener más información, consulte Crear una cuenta de almacenamiento (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).