Parametri MSRPC su host Windows

Per abilitare la comunicazione tra l'host Windows e IBM QRadar tramite MSRPC, configurare le impostazioni RPC (Remote Procedure Calls) sull'host Windows per il protocollo MSRPC (Microsoft Remote Procedure Calls).

È necessario essere un membro del gruppo di amministratori per consentire la comunicazione su MSRPC tra l'host Windows e il dispositivo QRadar .

In base ai test delle prestazioni su un'applicazione di IBM QRadar QRadar Event Processor 1628 con 128 GB di RAM e 40 core (Intel (R) Xeon (R) CPU E5-2680 v2 @ 2.80 GHz), è stata raggiunta una velocità di 8500 eventi al secondo (eps), ricevendo ed elaborando simultaneamente log da altri sistemi non Windows. Il limite di origine log è di 500.
Specifica Valore
Produttore Microsoft
Tipo di protocollo

Il tipo di sistema operativo a carico del protocollo di procedura remota per la raccolta degli eventi.

Selezionare una delle seguenti opzioni dall'elenco Tipo di protocollo :

MS-EVEN6
Il tipo di protocollo predefinito per le nuove sorgenti di log.
Il tipo di protocollo utilizzato da QRadar® per comunicare con Windows Vista e Windows Server 2008 e successivi.
MS - EVEN (per Windows XP/2003)
Il tipo di protocollo utilizzato da QRadar per comunicare con Windows XP e Windows Server 2003.
Windows XP e Windows Server 2003 non sono supportati da Microsoft. L'utilizzo di questa opzione potrebbe non avere successo.
rilevamento automatico (per le configurazioni legacy)
Le precedenti configurazioni di origine log per il tipo di protocollo Microsoft Windows Security Event Log DSM utilizzano il tipo di protocollo auto - detect (per le configurazioni legacy) .
Aggiornare al tipo di protocollo MS_EVEN6 o il tipo di protocollo MS - EVEN (per Windows XP/2003) .
Versioni supportate

Windows Server 2022 (incluso Core) WinCollect v10.1.2 e versioni successive

Windows Server 2019 (incluso Core)

Windows Server 2016 (incluso Core)

Windows Server 2012 (incluso Core)

Windows 11 WinCollect v10.1.2 e versioni successive

Windows 10
Applicazione prevista Raccolta eventi agentless per sistemi operativi Windows che possono supportare 100 EPS per sorgente log.
Numero massimo di origini log supportate 500 sorgenti di log di protocollo MSRPC per ogni host gestito (16xx o 18xx appliance)
Velocità massima EPS complessiva di MSRPC 8500 EPS per ogni host gestito
Funzioni speciali Supporta gli eventi crittografati di default.
Autorizzazioni richieste L'utente di origine log deve essere membro del gruppo Ricambi di registrazione eventi . Se questo gruppo non è configurato, allora i privilegi admin di dominio sono richiesti nella maggior parte dei casi per effettuare il polling di un log di eventi di Windows su un dominio. In alcuni casi, il gruppo Backup operator può essere utilizzato anche a seconda di come sono configurati Microsoft Group Policy Objects.
Gli utenti del sistema operativo Windows XP e 2003 richiedono l'accesso in lettura alle seguenti chiavi di registro:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
Tipi di eventi supportati Applicazione

Sistema

Sicurezza

Server DNS

Replica del file

Log del servizio directory
Requisiti di servizio Windows
Per Windows Server 2008 e Windows Vista, utilizzare i seguenti servizi:
  • Chiamata di procedura remota (RPC)
  • RPC Endpoint Mapper

Per Windows 2003, utilizzare il Remote Registry and Server.
Requisiti della porta Windows Assicurarsi che i firewall esterni tra l'host Windows e il dispositivo QRadar siano configurati per consentire le connessioni TCP in entrata e in uscita sulle seguenti porte:
Per Windows Server 2008 e Windows Vista, utilizzare le seguenti porte:
  • Porta TCP 135
  • Porta TCP assegnata dinamicamente per RPC, superiore a 49152
Per Windows 2003, utilizzare i seguenti porti:
  • Porta TCP 445
  • Porta TCP 139
Scoperto automaticamente? N
Include l'identità?
Include proprietà personalizzate? Un pacchetto di contenuti di sicurezza con le proprietà degli eventi personalizzati di Windows è disponibile su IBM® Fix Central.
File RPM obbligatori PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Ulteriori informazioni Supporto Microsoft (http://support.microsoft.com/)
Strumento di risoluzione dei problemi disponibile Lo strumento di prova MSRPC fa parte del protocollo MSRPC RPM. Dopo l'installazione del protocollo MSRPC RPM, lo strumento di verifica MSRPC è disponibile in /opt/qradar/jars