Journal des événements de sécurité Microsoft Windows
Le journal des événements de sécurité IBM QRadar DSM for Microsoft Windows accepte les événements syslog provenant des systèmes Microsoft Windows . Tous les événements, y compris Sysmon et winlogbeats.json, sont pris en charge.
Important: La prise en charge des protocoles du journal des événements Windows a pris fin le 31 octobre 2022. Pour continuer à collecter les événements du journal des événements Windows, vous devez sélectionner un nouveau type de protocole dans la liste des protocoles pris en charge. Pour plus d'informations sur la fin de la prise en charge, voir QRadar: annonce de fin de vie pour les protocoles du journal des événements de sécurité Microsoft Windows basés sur WMI (31 octobre 2022) (https://www.ibm.com/support/pages/node/6616223).
Pour la collecte d'événements à partir de systèmes d'exploitation Microsoft, QRadar prend en charge les protocoles suivants:
- Syslog (destiné à Snare, BalaBit, et à d'autres solutions Windows tierces).
- Réacheminé. Pour plus d'informations, voir Options de configuration du protocole réacheminé.
- TLS Syslog. Pour plus d'informations, voir Options de configuration du protocole TLS Syslog.
- TCP Multiline Syslog. Pour plus d'informations, voir Options de configuration du protocole TCP Multiline Syslog.
- MSRPC (Microsoft Security Event Log sur MSRPC). Pour plus d'informations, voir Microsoft Security Event Log over MSRPC protocol.
- WinCollect. Voir IBM QRadar WinCollect User Guide.
- WinCollect NetApp Data ONTAP. Voir IBM QRadar WinCollect User Guide.
- Protocole Amazon Web Services d'AWS CloudWatch. Pour plus d'informations, voir Amazon Web Services options de configuration du protocole et Comment télécharger mes journaux Windows vers CloudWatch? (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
- Microsoft Azure Event Hubs. Pour plus d'informations, voir Microsoft Azure Event Hubs et Installation et configuration de l'extension de diagnostics Windows Azure (WAD)- Azure Monitor (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install).
Vérifiez que vous disposez d'un compte de stockage Azure et d'un concentrateur d'événements Azure.
- Facultatif : Créez un compte de stockage. Pour plus d'informations, voir Création d'un compte de stockage (https: //docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs = azure-portal).Important: Vous devez disposer d'un compte de stockage pour vous connecter à un concentrateur d'événements. Pour plus d'informations, voir Microsoft Azure Event Hubs protocol FAQ.
- Facultatif : Créez un concentrateur d'événements. Pour plus d'informations, voir Démarrage rapide : Création d'un concentrateur d'événements à l'aide du portail Azure (https: //docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create).
- Facultatif : Créez un compte de stockage. Pour plus d'informations, voir Création d'un compte de stockage (https: //docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs = azure-portal).