Protocole Microsoft Security Event Log sur MSRPC

Le protocole Microsoft Security Event Log over Microsoft Remote Procedure Call (MSRPC) est un protocole actif sortant qui collecte les événements Windows sans qu'un agent soit installé sur l'hôte Windows.

Le protocole MSRPC utilise la spécification Microsoft Distributed Computing Environment (DCE) ou Remote Procedure Call (RPC) pour fournir une collecte d'événements cryptée et sans agent.

Le tableau suivant répertorie les fonctions prises en charge du protocole MSRPC.

Tableau 1. Fonctions prises en charge du protocole MSRPC
Fonctions Protocole Microsoft Security Event Log sur MSRPC
Taux maximal d'EPS Hôte 100 EPS / Windows
Taux d'EPS global maximal de MSRPC 8500 EPS/dispositif IBM QRadar 16xx ou 18xx
Nombre maximal de sources de journal prises en charge 500 sources de journal/dispositif QRadar 16xx ou 18xx
Prise en charge de sources de journal en vrac Oui
Chiffrement Oui
Systèmes d'exploitation Windows pris en charge

Windows Server 2022 (y compris Core) WinCollect v10.1.2 et suivantes

Windows Server 2019 (y compris Core)

Windows Server 2016 (y compris Core)

Windows Server 2012 (y compris Core)

Windows 10

Windows 11 WinCollect v10.1.2 et versions ultérieures
Droits requis L'utilisateur de la source de journal doit être membre du groupe Event Log Readers. Si ce groupe n'est pas configuré, des privilèges d'administrateur de domaine sont nécessaires pour interroger un journal des événements Windows dans un domaine. Occasionnellement, le groupe des opérateurs de sauvegarde peut être utilisé en fonction de la configuration des objets de stratégie de groupe Microsoft.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
Fichiers requis Rational Portfolio Manager (RPM) PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Configuration requise pour le service Windows
  • RPC (appel d'une procédure distante)
  • RPC Endpoint Mapper
Exigences relatives aux ports Windows
  • Port TCP 135
  • Port TCP 445
  • Port TCP alloué dynamiquement pour RPC, du port 49152 au port 65535
Fonctions spéciales Prend en charge les événements chiffrés par défaut.
Reconnu automatiquement ? Non
Inclut l'identité ? Oui
Inclut les propriétés personnalisées ? Un pack de contenu de sécurité avec des propriétés d'événements personnalisés Windows est disponible sur IBM® Fix Central.
Application prévue Collecte d'événements sans agent pour les systèmes d'exploitation Windows qui peuvent prendre en charge 100 EPS par source de journal.
Prise en charge de l'optimisation MSRPC est limité à 100 EPS par hôte Windows. Pour les systèmes à débit d'événements plus élevé, voir IBM QRadar WinCollect User Guide.
Informations complémentaires Support Microsoft (http://support.microsoft.com/)