Paramètres MSRPC sur les hôtes Windows

Pour activer la communication entre votre hôte Windows et IBM QRadar sur MSRPC, configurez les paramètres RPC (Remote Procedure Calls) sur l'hôte Windows pour le protocole MSRPC (Microsoft Remote Procedure Calls).

Vous devez être membre du groupe d'administrateurs pour activer la communication via MSRPC entre votre hôte Windows et le dispositif QRadar .

Sur la base de tests de performances effectués sur un dispositif IBM QRadar QRadar Event Processor 1628 doté de 128 Go de mémoire RAM et de 40 coeurs (Intel (R) Xeon (R) CPU E5-2680 v2 @ 2.80 GHz), un débit de 8500 événements par seconde (eps) a été atteint, tout en recevant et traitant simultanément les journaux d'autres systèmes non Windows. La limite de la source du journal est 500.
Spécification Valeur
Fabricant Microsoft
Type de protocole

Type dépendant du système d'exploitation du protocole de procédure à distance pour la collecte d'événements.

Sélectionnez l'une des options suivantes dans la liste Type de protocole :

MS-EVEN6
Type de protocole par défaut pour les nouvelles sources de journal.
Type de protocole utilisé par QRadar® pour communiquer avec Windows Vista et Windows Server 2008 et versions ultérieures.
MS-EVEN (pour Windows XP/2003)
Type de protocole utilisé par QRadar pour communiquer avec Windows XP et Windows Server 2003.
Windows XP et Windows Server 2003 ne sont pas pris en charge par Microsoft. L'utilisation de cette option risque de ne pas aboutir.
Détection automatique (pour les configurations existantes)
Les configurations de source de journal précédentes pour Microsoft Windows Security Event Log DSM utilisent le type de protocole auto-detect (pour les configurations existantes) .
Mettez à niveau le type de protocole MS_EVEN6 ou MS-EVEN (pour Windows XP/2003).
Versions prises en charge

Windows Server 2022 (y compris Core) WinCollect v10.1.2 et versions ultérieures

Windows Server 2019 (y compris Core)

Windows Server 2016 (y compris Core)

Windows Server 2012 (y compris Core)

Windows 11 WinCollect v10.1.2 et versions ultérieures

Windows 10
Application prévue Collecte d'événements sans agent pour les systèmes d'exploitation Windows pouvant prendre en charge 100 EPS par source de journal.
Nombre maximal de sources de journal prises en charge 500 sources de journal de protocole MSRPC pour chaque hôte géré (dispositif 16xx ou 18xx)
Taux d'EPS global maximal de MSRPC 8500 EPS pour chaque hôte géré
Fonctions spéciales Prend en charge les événements chiffrés par défaut.
Droits requis L'utilisateur de la source de journal doit être membre du groupe Event Log Readers. Si ce groupe n'est pas configuré, des privilèges d'administrateur de domaine sont requis dans la plupart des cas pour interroger un journal des événements Windows dans un domaine. Dans certains cas, le groupe Opérateurs de sauvegarde peut également être utilisé en fonction de la manière dont les objets de stratégie de groupe Microsoft sont configurés.
Les utilisateurs du système d'exploitation Windows XP et 2003 doivent disposer d'un accès en lecture aux clés de registre suivantes:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
Types d'événement pris en charge Application

Système

Sécurité

Serveur DNS

Réplication fichiers

Journaux du service d'annuaire
Configuration requise pour le service Windows
Pour Windows Server 2008 et Windows Vista, utilisez les services suivants:
  • RPC (appel d'une procédure distante)
  • RPC Endpoint Mapper

Pour Windows 2003, utilisez le registre et le serveur distants.
Exigences relatives aux ports Windows Vérifiez que les pare-feux externes entre l'hôte Windows et le dispositif QRadar sont configurés pour autoriser les connexions TCP entrantes et sortantes sur les ports suivants:
Pour Windows Server 2008 et Windows Vista, utilisez les ports suivants:
  • Port TCP 135
  • Port TCP alloué dynamiquement pour RPC, supérieur à 49152
Pour Windows 2003, utilisez les ports suivants:
  • Port TCP 445
  • Port TCP 139
Reconnu automatiquement ? Non
Inclut l'identité ? Oui
Inclut les propriétés personnalisées ? Un pack de contenu de sécurité avec des propriétés d'événements personnalisés Windows est disponible sur IBM® Fix Central.
Fichiers RPM requis PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Informations complémentaires Prise en charge de Microsoft (http://support.microsoft.com/)
Outil d'identification et de résolution des problèmes disponible L'outil de test MSRPC fait partie du RPM du protocole MSRPC. Après l'installation du RPM du protocole MSRPC, l'outil de test MSRPC est disponible dans /opt/qradar/jars