Présentation de WinCollect

WinCollect est un réexpéditeur d'événements Syslog que les administrateurs peuvent utiliser pour transmettre des événements des journaux Windows à QRadar®. WinCollect peut collecter des événements des systèmes en local ou être configuré pour interroger à distance d'autres systèmes Windows pour des événements.

WinCollect est l'une des nombreuses solutions pour la collecte d'événements Windows. Pour plus d'informations sur les alternatives à WinCollect, voir IBM® Security QRadar DSM Configuration Guide.

Comment WinCollect fonctionne-t-il?

WinCollect utilise l'API Journal des événements Windows pour collecter des événements, puis WinCollect envoie les événements à QRadar.

Remarque: le déploiement géré n'est pas pris en charge dans les environnements QRadar on Cloud. Les clients qui utilisent IBM QRadar on Cloud doivent utiliser des agents WinCollect autonomes.

Déploiement géré par WinCollect

Un déploiement WinCollect géré comporte un dispositif QRadar qui partage des informations avec l'agent WinCollect installé sur les hôtes Windows que vous souhaitez surveiller. L'hôte Windows peut collecter des informations sur lui-même, sur l'hôte local ou sur les hôtes Windows distants. Le logiciel WinCollect n'est pas installé sur les hôtes distants. L'hôte Windows sur lequel le logiciel WinCollect est installé interroge les hôtes distants, puis envoie des informations sur les événements à QRadar.
Remarque: le déploiement géré n'est pas pris en charge dans les environnements QRadar on Cloud. Les clients qui utilisent IBM QRadar on Cloud doivent utiliser des agents WinCollect autonomes.
Figure 1 : Exemple de déploiement géré WinCollect
Exemple de déploiement géré WinCollect
Important :
  1. Dans un déploiement géré, les agents WinCollect installés sur des hôtes Windows peuvent être gérés par une console QRadar , un collecteur d'événements ou un processeur d'événements.
  2. Les déploiements WinCollect gérés ne sont pas pris en charge sur QRadar on Cloud.

Dans un déploiement géré, WinCollect est conçu pour fonctionner avec jusqu'à 500 agents Windows par console et hôte géré. Par exemple, si vous disposez d'un déploiement avec une console, un processeur d'événementset un collecteur d'événements, chacun peut prendre en charge jusqu'à 500 agents Windows, pour un total de 1 500 agents. Si vous souhaitez surveiller plus de 500 agents Windows par console ou hôte géré, utilisez le déploiement WinCollect autonome.

Pour plus d'informations, voir Installations WinCollect autonomes.

Le déploiement WinCollect géré possède les fonctionnalités suivantes:

  • Gestion centralisée à partir de la console ou de l'hôte géré QRadar .
  • Création automatique de la source de journal locale au moment de l'installation.
  • Stockage d'événements pour s'assurer qu'aucun événement n'est supprimé.
  • Collecte les événements transférés à partir des abonnements Microsoft.
  • Filtre les événements à l'aide de requêtes XPath ou de filtres d'exclusion.
  • Prend en charge les installations de machine virtuelle.
  • La console peut envoyer des mises à jour logicielles à des agents WinCollect distants sans que vous ne réinstalliez les agents dans votre réseau.
  • Réachemine les événements selon une planification définie (Stockage et réacheminement)

Déploiement autonome WinCollect

Si vous devez collecter des événements Windows à partir de plus de 500 agents, utilisez le déploiement WinCollect autonome. Un déploiement autonome est un hôte Windows en mode non géré avec le logiciel WinCollect installé. L'hôte Windows peut collecter des informations sur lui-même, sur l'hôte local ou sur les hôtes Windows distants. Le logiciel WinCollect n'est pas installé sur les hôtes distants. L'hôte Windows sur lequel le logiciel WinCollect est installé interroge les hôtes distants, puis envoie des informations sur les événements à QRadar. Pour gagner du temps lorsque vous configurez plus de 500 agents Windows, vous pouvez utiliser une solution telle que IBM Endpoint Manager. L'automatisation peut vous aider à gérer des instances autonomes.

Figure 2. Exemple de déploiement autonome WinCollect
Exemple de déploiement autonome WinCollect

Vous pouvez également déployer des WinCollect autonomes pour consolider les données d'événement sur un hôte Windows, où WinCollect collecte les événements à envoyer à QRadar.

Le mode WinCollect autonome offre les fonctionnalités suivantes:

  • Vous pouvez configurer chaque agent WinCollect à l'aide de la console de configuration WinCollect .
  • Vous pouvez mettre à jour le logiciel WinCollect à l'aide du programme d'installation des mises à jour logicielles.
  • Stockage d'événements pour s'assurer qu'aucun événement n'est supprimé.
  • Collecte les événements transférés à partir des abonnements Microsoft.
  • Filtre les événements à l'aide de requêtes XPath ou de filtres d'exclusion.
  • Prend en charge les installations de machine virtuelle.
  • Envoyez des événements à QRadar à l'aide de TLS Syslog.
  • Créez automatiquement une source de journal locale au moment de l'installation de l'agent.

Fonctions des déploiements WinCollect gérés et autonomes

Consultez le tableau suivant pour savoir quelles fonctions sont disponibles lors de l'utilisation d'agents WinCollect gérés ou autonomes.

Tableau 1. Fonctions de WinCollect gérées par rapport à des fonctions autonomes WinCollect
Fonctions WinCollect géré Autonome WinCollect
Gestion centralisée à partir de la console ou de l'hôte géré QRadar . Oui Non
Création automatique de la source de journal locale au moment de l'installation. Oui Oui
Stockage d'événements pour s'assurer qu'aucun événement n'est supprimé. Oui Oui
Collecte les événements transférés à partir des abonnements Microsoft. Oui Oui
Filtre les événements à l'aide de requêtes XPath ou de filtres d'exclusion. Oui Oui
Prend en charge les installations de machine virtuelle. Oui Oui
QRadar Console peut envoyer des mises à jour logicielles aux agents WinCollect . Oui Non
Réachemine les événements selon une planification définie (Stockage et réacheminement). Oui Non
Vous pouvez configurer chaque agent WinCollect à l'aide de la console de configuration WinCollect . Non Oui
Vous pouvez mettre à jour le logiciel WinCollect à l'aide du programme d'installation des mises à jour logicielles. Non Oui
Disponible avec QRadar on Cloud Non Oui
Disponible avec QRadar sur site Oui Oui
IPv4 soutien Oui Oui
Prise en charge d'IPv6 Non Non
Remarque : pour activer la prise en charge de IPv6, configurez l'agent WinCollect 10 en mode de déploiement autonome. Pour plus d'informations, voir WinCollect 10 Overview.

Configuration d'un déploiement WinCollect géré

Pour un déploiement géré, procédez comme suit:

  1. Comprendre les conditions préalables à la gestion de WinCollect, les ports à utiliser, le matériel requis, la mise à niveau. Pour plus d'informations, voir les conditions préalables à l'installation de WinCollect.
  2. Installez l'application WinCollect sur la console QRadar . Pour plus d'informations, voir Installation et mise à niveau de l'application WinCollect sur les appliances QRadar.
  3. Créez un jeton d'authentification pour que les agents WinCollect gérés puissent échanger des données avec les dispositifs QRadar . Pour plus d'informations, voir Création d'un jeton d'authentification pour les agents WinCollect.
  4. Configurez un hôte de destination de réacheminement pour les données de la source de journal. Pour plus d'informations, voir Ajouter une destination.
  5. Installez les agents WinCollect gérés sur les hôtes Windows. Pour plus d'informations, voir l'une des options suivantes:
  6. Si vous souhaitez configurer des événements transférés ou des abonnements à des événements, consultez la rubrique Abonnements à des événements Windows pour les agents WinCollect.
  7. Si vous souhaitez utiliser l'ancienne interface utilisateur Log Source pour ajouter en masse des sources de journaux qui seront interrogées à distance par un seul agent, reportez-vous à la section Sources de journaux en masse pour la collecte d'événements à distance WinCollect agent, reportez-vous à la section Ajout en bloc de sources de journaux pour la collecte d'événements à distance.
  8. Optimisez vos sources de journal WinCollect . Pour plus d'informations, voir le paramètre Event Rate Tuning Profile dans les paramètres de la source du journal Windows.
  9. Si vous souhaitez qu'un agent WinCollect géré envoie des événements à plusieurs destinations QRadar en cas de défaillance de l'une d'elles, consultez Ajout de plusieurs destinations aux agents WinCollect.

Configuration d'un déploiement WinCollect autonome

Pour un déploiement autonome, procédez comme suit:

  1. Comprendre les prérequis pour WinCollect autonome, les ports à utiliser, le matériel nécessaire, la mise à jour. Pour plus d'informations, voir les conditions préalables à l'installation de WinCollect.
  2. Installez des agents WinCollect autonomes sur les hôtes Windows. Pour plus d'informations, voir Installation de l'agent WinCollect sur un hôte Windows.
  3. Si vous souhaitez ajouter de nouvelles sources de journal à votre agent ou modifier des sources de journal existantes, installez la console de configuration autonome WinCollect . Pour plus d'informations, voir Installation de la console de configuration ou Installation, mise à niveau et désinstallation silencieuses du logiciel WinCollect.
  4. Configurez la destination où les hôtes Windows envoient des événements Windows. Pour plus d'informations, voir Ajouter une destination à la console de configuration WinCollect.
  5. Si vous souhaitez utiliser l'agent WinCollect autonome pour collecter des événements d'autres périphériques à l'aide de l'interrogation à distance, créez des données d'identification dans la console de configuration autonome WinCollect afin que WinCollect puisse se connecter aux périphériques distants. Pour plus d'informations, voir Création d'un justificatif d'identité WinCollect.
  6. Si vous souhaitez ajouter des sources de journal supplémentaires à l'agent WinCollect autonome, utilisez la console de configuration autonome WinCollect . Pour plus d'informations, voir Ajout d'un périphérique à la console de configuration WinCollect.