Opciones de configuración de registro ISA de Microsoft
Versiones soportadas de Microsoft ISA
El plug-in ISA de Microsoft para WinCollect da soporte a las siguientes versiones de software:
- Servidor ISA de Microsoft 2006
- Microsoft Forefront Threat Management Gateway 2010
Formatos de registro de servidor ISA o TMG de Microsoft soportados
WinCollect da soporte a los siguientes formatos de registro de sucesos:
- Registros de proxy web en formato WC3 (w3c_web)
- Registros de servicio de cortafuegos de Microsoft en formato WC3 (w3c_fws)
- Registros de proxy web en formato IIS (iis_web)
- Registros de servicio de cortafuegos de Microsoft en formato IIS (iis_fws)
El formato de suceso W3C es el formato de registro de sucesos preferido. El formato W3C contiene una cabecera estándar con la información de versión y todos los campos que se esperan en la carga útil del suceso. Puede personalizar el formato de suceso W3C para el registro de servicio de cortafuegos y el registro de proxy web para incluir o excluir campos de los registros de sucesos.
La mayoría de los administradores pueden utilizar los campos de formato W3C predeterminados. Si el formato W3C está personalizado, los campos siguientes son necesarios para categorizar correctamente los sucesos:
| Campo necesario | Descripción |
|---|---|
| IP de cliente (c-ip) | La dirección IP de origen. |
| Acción | Acción que realiza el cortafuegos. |
| IP de destino (r-ip) | La dirección IP de destino. |
| Protocolo (cs-protocol) | El nombre del protocolo de aplicación, por ejemplo, HTTP o FTP. |
| Nombre de usuario de cliente (cs-username) | La cuenta de usuario que ha realizado la solicitud de datos del servicio de cortafuegos. |
| Nombre de usuario de cliente (nombre de usuario) | La cuenta de usuario que ha realizado la solicitud de datos del servicio de proxy web. |
Estructura de directorios ISA de Microsoft para la recopilación de sucesos
Los registros de sucesos supervisados por WinCollect se definen mediante el directorio raíz que configure en el origen de registro.
Cuando especifica un directorio de registro raíz, WinCollect evalúa la carpeta de directorio y busca de forma recursiva en las subcarpetas para determinar cuándo se graban nuevos sucesos en el registro de sucesos. De forma predeterminada, el plug-in WinCollect para Microsoft ISA sondea el directorio de registro raíz en busca de registros de sucesos actualizados cada 5 segundos.
| Versión | Directorio de registro raíz |
|---|---|
| Microsoft ISA 2006 | %systemroot%\LogFiles\IAS\ |
| Pasarela de gestión de amenazas de Microsoft | <Program Files>\<Forefront Directory>\ISALogs\ |
Parámetros del protocolo ISA de Microsoft
| Parámetro | Descripción |
|---|---|
| Tipo de origen de registro | Microsoft ISA |
| Configuración de protocolo | WinCollect Microsoft ISA/Forefront TMG |
| Sistema local | Para recopilar sucesos locales, el agente WinCollect debe estar instalado en el mismo host que el servidor Microsoft ISA o Forefront TMG. El origen de registro utiliza las credenciales del sistema local para recopilar y reenviar sucesos a QRadar. |
| Directorio raíz | Cuando especifique una vía de acceso de archivo remota, utilice un signo de dólar, $, en lugar de dos puntos,:, para representar el nombre de la unidad. Microsoft ISA 2006
Pasarela de gestión de amenazas de Microsoft
|
| Política de supervisor de archivos | La opción Basado en notificaciones (local) utiliza las notificaciones del sistema de archivos de Windows para detectar cambios en el registro de sucesos. La opción Basado en sondeo (remoto) supervisa los cambios en los archivos y directorios remotos. El agente sondea el registro de sucesos remoto y compara el archivo con el último intervalo de sondeo. Si el registro de sucesos contiene sucesos nuevos, se recupera el registro de sucesos. |
| Intervalo de sondeo | La cantidad de tiempo entre consultas al directorio de registro raíz para sucesos nuevos. |