Microsoft Windows セキュリティー・イベント・ログ
IBM® QRadar® DSM for Microsoft Windows セキュリティー・イベント・ログは、Microsoft Windows システムから syslog イベントを受け取ります。Sysmon および winlogbeats.json を含むすべてのイベントがサポートされます。
Microsoft オペレーティング・システムからのイベント収集用に、QRadar では以下のプロトコルがサポートされています。
- Syslog (Snare、BalaBit、およびその他のサード・パーティー Windows ソリューションが対象)。
- 転送。詳しくは、転送プロトコルの構成オプションを参照してください。
- TLS Syslog。詳しくは、TLS Syslog プロトコルの構成オプションを参照してください。
- TCP 複数行 Syslog。詳しくは、TCP 複数行 Syslog プロトコルの構成オプションを参照してください。
- Windows イベント・ログ (WMI)。「IBM QRadar Vulnerability Manager User Guide」を参照してください。
- Windows イベント・ログ・カスタム (WMI)。「IBM QRadar Vulnerability Manager User Guide」を参照してください。
- MSRPC (MSRPC 経由の Microsoft セキュリティー・イベント・ログ)。詳しくは、MSRPC 経由の Microsoft セキュリティー・イベント・ログ・プロトコルを参照してください。
- WinCollect。「IBM QRadar WinCollect ユーザー・ガイド」を参照してください。
- WinCollect NetApp Data ONTAP。「IBM QRadar WinCollect ユーザー・ガイド」を参照してください。
- AWS CloudWatch の Amazon Web Services プロトコル。詳しくは、Amazon Web Services プロトコルの構成オプションおよび Windows ログを CloudWatch にアップロードするにはどうすればよいですか? (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/) を参照してください。
-
Microsoft Azure Event Hubs。詳しくは、『Microsoft Azure Event Hubs プロトコルの構成オプション』およびAzure Monitor の『Windows Azure Diagnostics 拡張機能 (WAD) のインストールと構成』(https://docs.microsoft.com/ja-jp/azure/azure-monitor/platform/diagnostics-extension-windows-install) を参照してください。
Azure ストレージ・アカウントと Azure イベント・ハブがあることを確認します。
- オプション: ストレージ・アカウントを作成します。詳しくは、『ストレージ アカウントを作成する』(https://docs.microsoft.com/ja-jp/azure/storage/common/storage-account-create?tabs=azure-portal) を参照してください。重要: イベント・ハブに接続するには、ストレージ・アカウントが必要です。詳しくは、『Microsoft Azure Event Hubs プロトコルの FAQ』を参照してください。
- オプション: イベント・ハブを作成します。詳しくは、『クイック スタート: Azure portal を使用したイベント ハブの作成』(https://docs.microsoft.com/ja-jp/azure/event-hubs/event-hubs-create) を参照してください。
- オプション: ストレージ・アカウントを作成します。詳しくは、『ストレージ アカウントを作成する』(https://docs.microsoft.com/ja-jp/azure/storage/common/storage-account-create?tabs=azure-portal) を参照してください。