Microsoft Security Event Log su protocollo MSRPC

Il protocollo Microsoft Security Event Log over Microsoft Remote Procedure Call (MSRPC) è un protocollo attivo in uscita che raccoglie eventi Windows senza un agente installato sull'host Windows.

Il protocollo MSRPC utilizza la specifica Microsoft Distributed Computing Environment (DCE) o Remote Procedure Call (RPC) per fornire una raccolta di eventi crittografata e senza agenti.

La seguente tabella elenca le funzioni supportate del protocollo MSRPC.

Tabella 1. Funzioni supportate del protocollo MSRPC
Funzioni Microsoft Security Event Log su protocollo MSRPC
Velocità massima EPS 100 EPS / host Windows
Velocità massima EPS globale di MSRPC Dispositivo 8500 EPS / IBM QRadar 16xx o 18xx
Numero massimo di origini log supportate 500 origini log / QRadar 16xx o 18xx appliance
Supporto origine log di massa
Crittografia
Sistemi operativi Windows supportati

Windows Server 2022 (incluso Core) WinCollect v10.1.2 e successivi

Windows Server 2019 (incluso Core)

Windows Server 2016 (incluso Core)

Windows Server 2012 (incluso Core)

Windows 10

Windows 11 WinCollect v10.1.2 e successivi
Autorizzazioni richieste L'utente dell'origine log deve essere un membro del gruppo Lettori log eventi. Se questo gruppo non è configurato, sono necessari i privilegi di amministratore di dominio per eseguire il polling di un registro eventi di Windows in un dominio. Occasionalmente, è possibile utilizzare il gruppo degli operatori di backup, a seconda della configurazione degli Oggetti Criteri di gruppo di Microsoft.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
File richiesti Rational Portfolio Manager (RPM) PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Requisiti del servizio Windows
  • RPC (Remote Procedure Call)
  • Mapper endpoint RPC
Requisiti porta Windows
  • Porta TCP 135
  • Porta TCP 445
  • La porta TCP assegnata dinamicamente per RPC, dalla porta 49152 fino a 65535
Caratteristiche speciali Supporta gli eventi codificati per impostazione predefinita.
Rilevato automaticamente? N
Include l'identità?
Include proprietà personalizzate? Un pacchetto di contenuti di sicurezza con le proprietà degli eventi personalizzati di Windows è disponibile su IBM® Fix Central.
Applicazione prevista Raccolta di eventi senza agent per sistemi operativi Windows che possono supportare 100 EPS per origine log.
Ottimizzazione del supporto MSRPC è limitato a 100 EPS per host Windows. Per sistemi di quantità di eventi più elevati, consultare IBM QRadar WinCollect User Guide.
Ulteriori informazioni Supporto Microsoft (http://support.microsoft.com/)