Registro de sucesos de seguridad de Microsoft sobre el protocolo MSRPC

El protocolo Microsoft Security Event Log over Microsoft Remote Procedure Call (MSRPC) es un protocolo saliente activo que recopila eventos de Windows sin un agente instalado en el host de Windows.

El protocolo MSRPC utiliza la especificación Microsoft Distributed Computing Environment (DCE) o Remote Procedure Call (RPC) para proporcionar una recopilación de eventos cifrada y sin agentes.

En la tabla siguiente se listan las características soportadas del protocolo MSRPC.

Tabla 1. Características soportadas del protocolo MSRPC
Características Registro de sucesos de seguridad de Microsoft sobre el protocolo MSRPC
Velocidad máxima de EPS 100 EPS/Windows host
Velocidad máxima de EPS global de MSRPC Dispositivo 8500 EPS/ IBM QRadar 16xx o 18xx
Número máximo de orígenes de registro soportados 500 orígenes de registro/dispositivo QRadar 16xx o 18xx
Soporte de origen de registro masivo
Cifrado
Sistemas operativos Windows compatibles

Windows Server 2022 (incluido Core) WinCollect v10.1.2 y posteriores

Windows Server 2019 (incluido Core)

Windows Server 2016 (incluido Core)

Windows Server 2012 (incluido Core)

Windows 10

Windows 11 WinCollect v10.1.2 y posteriores
Permisos necesarios El usuario de origen de registro debe ser miembro del grupo Lectores de registros de sucesos. Si este grupo no está configurado, se requieren privilegios de administrador de dominio para sondear un registro de eventos de Windows en un dominio. Ocasionalmente, se puede utilizar el grupo de operadores de copia de seguridad en función de cómo estén configurados los objetos de directiva de grupo de Microsoft.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
Archivos Rational Portfolio Manager (RPM) necesarios PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Requisitos de servicio de Windows
  • Llamada a procedimiento remoto (RPC)
  • RPC EndPoint Mapper
Requisitos de puerto de Windows
  • Puerto TCP 135
  • Puerto TCP 445
  • Puerto TCP asignado dinámicamente para RPC, desde el puerto 49152 hasta el 65535
Características especiales Da soporte a sucesos cifrados de forma predeterminada.
¿Descubierto automáticamente? Nee
¿Incluye identidad?
¿Incluye propiedades personalizadas? En IBM® Fix Central hay disponible un paquete de contenido de seguridad con propiedades de eventos personalizados de Windows.
Aplicación prevista Recopilación de sucesos sin agentes para sistemas operativos Windows que pueden dar soporte a 100 EPS por origen de registro.
Soporte de ajuste MSRPC está limitado a 100 EPS por host Windows. Para sistemas de velocidad de sucesos más altos, consulte IBM QRadar WinCollect User Guide.
Más información Soporte Microsoft (http://support.microsoft.com/)