Parámetros de origen de registro de Windows
Los parámetros comunes se utilizan al configurar un origen de registro para un agente WinCollect o un plug-in WinCollect . Cada plug-in de WinCollect también tiene un conjunto exclusivo de opciones de configuración.
| Parámetro | Descripción |
|---|---|
| Identificador de origen de registro | La dirección IP o el nombre de host de un sistema operativo Windows remoto desde el que desea recopilar sucesos basados en Windows. El identificador de origen de registro debe ser exclusivo para el tipo de origen de registro. Se utiliza para sondear sucesos desde orígenes remotos. |
| Sistema local | Inhabilita la recopilación remota de sucesos para el origen de registro. El origen de registro utiliza las credenciales del sistema local para recopilar y reenviar sucesos a QRadar®. Nota: Debe borrar este recuadro si está utilizando un identificador de origen de registro de nombre de dominio completo (FQDN) y el agente está instalado en un controlador de dominio.
|
| Dominio | Opcional El dominio que incluye el origen de registro basado en Windows. Los ejemplos siguientes utilizan la sintaxis correcta: LAB1, server1.mydomain.com La sintaxis siguiente es incorrecta: \\mydomain.com |
| Perfil de ajuste de tasa de sucesos | Para el intervalo de sondeo predeterminado de 3000 ms, las tasas aproximadas de sucesos por segundo (EPS) que se pueden alcanzar son las siguientes:
Para un intervalo de sondeo de 1000 ms, las tasas de EPS aproximadas son las siguientes:
Para obtener más información sobre el ajuste de WinCollect, consulte el soporte técnico de IBM®http://www.ibm.com/support/docview.wss?uid=swg21672193. |
| Intervalo de sondeo (ms) | El intervalo, en milisegundos, entre horas en las que WinCollect sondea en busca de sucesos nuevos. |
| Tipo de registro de aplicación o servicio | Opcional. Se utiliza para consultas XPath. Proporciona una consulta XPath especializada para productos que escriben sus sucesos como parte del registro de aplicaciones de Windows. Por lo tanto, puede separar los sucesos de Windows de los sucesos clasificados en un origen de registro para otro producto. |
| Protocolo de sondeo de registro de sucesos | El protocolo que QRadar utiliza para comunicarse con el dispositivo Windows. El valor predeterminado es MSEVEN6. |
| Tipo de filtro de registro | Configura el agente de WinCollect para ignorar sucesos específicos del registro de sucesos de Windows. También puede configurar agentes de WinCollect para ignorar sucesos globalmente por código de ID u origen de registro. Los filtros de exclusión para sucesos están disponibles para los siguientes tipos de origen de registro: Seguridad, Sistema, Aplicación, Servidor DNS, Servicio de réplica de archivos y Servicio de directorio Las exclusiones globales utilizan el campo EventIDCode de la carga útil del suceso. Para determinar los valores que se excluyen, las exclusiones de origen e ID utilizan el campo Ejemplo: Los filtros de exclusión pueden utilizar comas y guiones para filtrar EventIDs únicos o rangos como, por ejemplo, 4609, 4616, 6400-6405.
Para obtener más información sobre el filtrado, consulte WinCollect Event Filtering (http://www.ibm.com/support/docview.wss?uid=swg21672656). |
| Seguridad | Seleccione el recuadro de selección para habilitar WinCollect para reenviar registros de seguridad a QRadar. |
| Tipo de filtro de registro de seguridad | Para ignorar el ID de sucesos específico recopilado del registro de sucesos de Windows, seleccione Filtro de exclusión. Para incluir el ID de sucesos específico recopilado en el registro de sucesos de Windows, seleccione Filtro de inclusión. La opción Filtro de NSA rellena el campo Filtro de registro de seguridad con una lista de los ID de suceso recomendados por la Agencia de seguridad nacional. El valor predeterminado es Sin filtrado. Nota: Si selecciona un tipo de filtro de la lista, se muestra un nuevo campo Filtro de registro de seguridad . Debe proporcionar los ID de suceso que desea incluir o excluir.
|
| sistema | Seleccione el recuadro de selección para habilitar WinCollect para reenviar registros del sistema a QRadar. |
| Tipo de filtro de registro del sistema | Para ignorar el ID de sucesos específico recopilado del registro de sucesos de Windows, seleccione Filtro de exclusión. Para incluir el ID de sucesos específico recopilado en el registro de sucesos de Windows, seleccione Filtro de inclusión. La opción Filtro de NSA rellena el campo Filtro de registro del sistema con una lista de los ID de suceso recomendados por la Agencia de seguridad nacional. El valor predeterminado es Sin filtrado. Nota: Si selecciona un tipo de filtro de la lista, se muestra un nuevo campo Filtro de registro del sistema . Debe proporcionar los ID de suceso que desea incluir o excluir.
|
| Application | Seleccione el recuadro de selección para habilitar WinCollect para reenviar registros de aplicación a QRadar. |
| Tipo de filtro de registro de aplicación | Para ignorar el ID de sucesos específico recopilado del registro de sucesos de Windows, seleccione Filtro de exclusión. Para incluir el ID de sucesos específico recopilado en el registro de sucesos de Windows, seleccione Filtro de inclusión. La opción Filtro de NSA rellena el campo Filtro de registro de aplicación con una lista de los ID de suceso recomendados por la Agencia de seguridad nacional. El valor predeterminado es Sin filtrado. Nota: Si selecciona un tipo de filtro de la lista, se muestra un nuevo campo Filtro de registro de aplicación . Debe proporcionar los ID de suceso que desea incluir o excluir.
|
| Servidor DNS | Seleccione el recuadro de selección para habilitar WinCollect para reenviar los registros del servidor DNS a QRadar. |
| Tipo de filtro de registro de servidor DNS | Para ignorar el ID de sucesos específico recopilado del registro de sucesos de Windows, seleccione Filtro de exclusión. Para incluir el ID de sucesos específico recopilado en el registro de sucesos de Windows, seleccione Filtro de inclusión. La opción Filtro de NSA rellena el campo Filtro de registro de servidor DNS con una lista de ID de sucesos recomendados por la Agencia de seguridad nacional. El valor predeterminado es Sin filtrado. Nota: Si selecciona un tipo de filtro de la lista, se muestra un nuevo campo Filtro de registro de servidor DNS . Debe proporcionar los ID de suceso que desea incluir o excluir.
|
| Servicio de réplica de archivos | Seleccione el recuadro de selección para habilitar WinCollect para reenviar los registros del servicio de réplica de archivos a QRadar. |
| Tipo de filtro de registro de servicio de réplica de archivos | Para ignorar el ID de sucesos específico recopilado del registro de sucesos de Windows, seleccione Filtro de exclusión. Para incluir el ID de sucesos específico recopilado en el registro de sucesos de Windows, seleccione Filtro de inclusión. Nota: Si selecciona un tipo de filtro de la lista, se muestra un nuevo campo Filtro de registro del servicio de réplica de archivos . Debe proporcionar los ID de suceso que desea incluir o excluir.
|
| Servicio de directorio | Seleccione el recuadro de selección para habilitar WinCollect para reenviar los registros del servicio de directorio a QRadar. |
| Tipo de filtro de registro de servicio de directorio | Para ignorar el ID de sucesos específico recopilado del registro de sucesos de Windows, seleccione el Filtro de exclusión. Para incluir el ID de sucesos específico recopilado en el registro de sucesos de Windows, seleccione el Filtro de inclusión. Nota: Si selecciona un tipo de filtro de la lista, se muestra un nuevo campo Filtro de registro de servicio de directorio . Debe proporcionar los ID de suceso que desea incluir o excluir.
|
| Sucesos reenviados | Habilita QRadar para recopilar sucesos que se reenvían desde orígenes de sucesos de Windows remotos que utilizan suscripciones. Los sucesos de reenvío que utilizan suscripciones de sucesos los descubre automáticamente el agente de WinCollect y se reenvían como si fueran un origen de sucesos de syslog. Cuando configure el reenvío de sucesos desde el sistema Windows, habilite la representación previa de sucesos. Importante: WinCollect sólo da soporte a la extracción de registros del canal de sucesos reenviados. No se da soporte a la escritura de sucesos desde una suscripción a un canal diferente.
|
| Tipo de filtro de sucesos reenviados | Para ignorar el ID de sucesos específico recopilado del registro de sucesos de Windows, seleccione Filtro de exclusión. Para incluir el ID de sucesos específico recopilado en el registro de sucesos de Windows, seleccione Filtro de inclusión. La opción Filtro de NSA rellena el campo Filtro de sucesos reenviados con todos los canales y sus filtros respectivos, tal como recomienda la Agencia de seguridad nacional. El valor predeterminado es Sin filtrado. Nota: Si selecciona un tipo de filtro de la lista, se muestra un nuevo campo Filtro de sucesos reenviados . Debe proporcionar los ID de suceso que desea incluir o excluir.
El filtro de sucesos reenviados requiere que identifique el origen o canal, con los eventIDs que desea filtrar entre paréntesis. Utilice signos de punto y coma como delimitadores. Por ejemplo:
|
| Tipos de sucesos | Se debe seleccionar al menos un tipo de suceso. Si necesita recopilar tipos de sucesos específicos, siga las instrucciones para crear un XPath personalizado con esos tipos de sucesos específicos. Para obtener más información, consulte Creación de una vista personalizada. |
| Habilitar búsquedas de Active Directory | Si el agente de WinCollect está en el mismo dominio que el controlador de dominio responsable de la búsqueda de Active Directory , puede seleccionar este recuadro de selección. Si lo hace, deje el dominio de alteración temporal y los parámetros DNS en blanco. Importante: Debe especificar valores para los parámetros Búsqueda de nombres de controlador de dominio y Búsqueda de nombres de dominio DNS .
|
| Alterar temporalmente nombre de controlador de dominio | Es necesario cuando el controlador de dominio responsable de la búsqueda de Active Directory está fuera del dominio del agente de WinCollect . La dirección IP o el nombre de host del controlador de dominio que es responsable de la búsqueda de Active Directory . |
| Consulta XPath | Expresiones XML estructuradas que se utilizan para recuperar sucesos personalizados de registros de sucesos de Windows. Si especifica una consulta XPath para filtrar sucesos, los recuadros de selección que ha seleccionado en Tipo de registro estándar o Tipo de suceso se recopilan junto con la consulta XPath. Para recopilar información utilizando una consulta XPath, es posible que sea necesario habilitar Remote Event Log Management en Windows 2008. |
| Destino interno de destino | Utilice cualquier host gestionado con un componente de procesador de sucesos como destino interno. |
| Destino externo de destino | Reenvía los sucesos a uno o más destinos externos que ha configurado en la lista de destinos. |