Log eventi di sicurezza Microsoft Windows
Il log degli eventi di sicurezza IBM QRadar DSM per Microsoft Windows accetta eventi syslog dai sistemi Microsoft Windows . Sono supportati tutti gli eventi, inclusi Sysmon e winlogbeats.json.
Importante: il supporto per i protocolli del log eventi di Windows è terminato il 31 ottobre 2022. Per continuare la raccolta degli eventi del log eventi di Windows, è necessario selezionare un nuovo tipo di protocollo dall'elenco di protocolli supportati. Per ulteriori informazioni sulla fine del supporto, consultare QRadar: annuncio di fine vita per i protocolli basati su WMI Microsoft Windows Security Event Log (31 ottobre 2022) (https://www.ibm.com/support/pages/node/6616223).
Per la raccolta di eventi da sistemi operativi Microsoft, QRadar supporta i protocolli seguenti:
- Syslog (destinato a Snare, BalaBit, e altre soluzioni Windows di terze parti).
- Inoltrato. Per ulteriori informazioni, consultare Opzioni di configurazione del protocollo inoltrato.
- Syslog TLS. Per ulteriori informazioni, consultare Opzioni di configurazione del protocollo Syslog TLS.
- Syslog multilinea TCP. Per ulteriori informazioni, consultare Opzioni di configurazione del protocollo TCP Multiline Syslog.
- MSRPC (Microsoft Security Event Log su MSRPC). Per ulteriori informazioni, vedere Registro eventi di sicurezza Microsoft tramite protocollo MSRPC.
- WinCollect. Consultare IBM QRadar WinCollect User Guide.
- WinCollect NetApp Data ONTAP. Consultare IBM QRadar WinCollect User Guide.
- Protocollo Amazon Web Services da AWS CloudWatch. Per ulteriori informazioni, vedere Amazon Web Services e Come si caricano i log di Windows su CloudWatch? (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
- Hub eventi Microsoft Azure . Per ulteriori informazioni, consultare Microsoft Azure Event Hubs protocol configuration options e Install and configure Windows Azure diagnostics extension (WAD) - Azure Monitor (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install).
Assicurati di disporre di un account di archiviazione Azure e di un hub eventi Azure .
- Facoltativo: crea un account di archiviazione. Per ulteriori informazioni, vedi Crea un account di archiviazione (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).Importante: è necessario disporre di un account di archiviazione per connettersi a un hub eventi. Per ulteriori informazioni, consultare Microsoft Azure Event Hubs protocol FAQ.
- Facoltativo: creare un hub eventi. Per ulteriori informazioni, consultare Quickstart: creare un hub eventi utilizzando il portale Azure (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create).
- Facoltativo: crea un account di archiviazione. Per ulteriori informazioni, vedi Crea un account di archiviazione (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).