Windows ホスト上での MSRPC の有効化

MSRPC を介した Windows ホストと IBM® QRadar® との間の接続を有効にするには、Microsoft Remote Procedure Calls (MSRPC) プロトコル用に Windows ホスト上でリモート・プロシージャー・コール (RPC) 設定を構成します。

始める前に

Windows ホストと QRadar アプライアンスとの間の MSRPC を介した通信を有効にするには、管理者グループのメンバーでなければなりません。

このタスクについて

128 GB の RAM および 40 コア (Intel(R) Xeon(R) CPU E5-2680 v2 @ 2.80 GHz) を搭載した IBM QRadar QRadar Event Processor 1628 アプライアンスでのパフォーマンス・テストによると、1 秒あたり 8500 イベント (eps) の速度が正常に達成されたと同時に、他の非 Windows システムからのログの受け取りおよび処理が行われました。ログ・ソース制限は 500 です。

仕様	値
製造元	Microsoft
プロトコル・タイプ	イベントの収集のための、オペレーティング・システム依存のリモート・プロシージャー・プロトコルのタイプ。「プロトコル・タイプ (Protocol Type)」リストから、次のオプションのいずれかを選択します。 MS-EVEN6 新しいログ・ソースのデフォルトのプロトコル・タイプ。 QRadar が Windows Vista や Windows Server 2008 以降と通信するために使用するプロトコル・タイプ。 MS-EVEN (XP/2003 の場合) QRadar が Windows XP や Windows Server 2003 と通信するために使用するプロトコル・タイプ。 Windows XP と Windows Server 2003 は、Microsoft ではサポートされていません。このオプションを使用すると正常に動作しない可能性があります。自動検出 (レガシー構成用) Microsoft Windows セキュリティー・イベント・ログ DSM に対する従来のログ・ソース構成は、「自動検出 (レガシー構成用)」プロトコル・タイプを使用しています。「MS_EVEN6」プロトコル・タイプまたは「MS-EVEN (Windows XP/2003 の場合)」プロトコル・タイプにアップグレードしてください。
サポートされるバージョン	Windows Server 2016 Windows Server 2012 (最新) Windows Server 2012 Core Windows Server 2008 (最新) Windows Server 2008 Core Windows 10 (最新) Windows 8 (最新) Windows 7 (最新) Windows Vista (最新)
対象用途	ログ・ソースあたり 100 EPS をサポート可能な Windows オペレーティング・システムに対するエージェントレス・イベント収集。
サポートされるログ・ソースの最大数	管理対象ホスト (16xx または 18xx アプライアンス) ごとに 500 MSRPC プロトコル・ログ・ソース
全体の MSRPC の最大 EPS 速度	管理対象ホストごとに 8500 EPS
特殊機構	デフォルトで暗号化イベントがサポートされます。
必要な権限	ログ・ソース・ユーザーは、「Event Log Readers」グループのメンバーでなければなりません。このグループがまだ構成されていない場合は、ドメイン間で Windows イベント・ログをポーリングするためにドメイン管理特権が必要になることがほとんどです。場合によっては、Microsoft グループ・ポリシー・オブジェクトの構成方法に応じて、「Backup Operators」グループも使用できる場合があります。 Windows XP および 2003 オペレーティング・システム・ユーザーは、以下のレジストリー・キーに対する読み取り権限が必要です。 HKEY_LOCAL_MACHINE¥SYSTEM¥ CurrentControlSet¥services¥eventlog HKEY_LOCAL_MACHINE¥SYSTEM¥ CurrentControlSet¥Control¥Nls¥Language HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft Windows¥CurrentVersion
サポートされるイベント・タイプ	アプリケーションシステムセキュリティー DNS サーバーファイル複製ディレクトリー・サービスのログ
Windows のサービス条件	Windows Server 2008 および Windows Vista の場合、以下のサービスを使用します。リモート・プロシージャー・コール (RPC) RPC エンドポイント・マッパー Windows 2003 の場合、リモート・レジストリーおよびリモート・サーバーを使用します。
Windows のポート条件	以下のポートでの着信 TCP 接続および発信 TCP 接続が許可されるように、Windows ホストと QRadar アプライアンスとの間の外部ファイアウォールが構成されていることを確認します。 Windows Server 2008 および Windows Vista の場合、以下のポートを使用します。 TCP ポート 135 RPC 用に動的に割り振られる、49152 より大きい TCP ポート Windows 2003 の場合、以下のポートを使用します。 TCP ポート 445 TCP ポート 139
自動的に検出?	いいえ
ID を含む?	はい
カスタム・プロパティーを含む?	Windows カスタム・イベント・プロパティーを含むセキュリティー・コンテンツ・パックは、IBM Fix Central で入手できます。
必要な RPM ファイル	PROTOCOL-WindowsEventRPC-`QRadar_release-Build_number`.noarch.rpm DSM-MicrosoftWindows-`QRadar_release-Build_number`.noarch.rpm DSM-DSMCommon-`QRadar_release-Build_number`.noarch.rpm
その他の情報	Microsoft サポート (http://support.microsoft.com/)
使用可能なトラブルシューティング・ツール	MSRPC テスト・ツールは MSRPC プロトコル RPM の一部です。MSRPC プロトコル RPM をインストールすると、MSRPC テスト・ツールは /opt/qradar/jars に保管されます。

手順

管理者として QRadar にログインします。
「管理」タブをクリックします。
「ログ・ソース」アイコンをクリックします。
「追加」をクリックします。
「ログ・ソース・タイプ」リストで「Microsoft Windows セキュリティー・イベント・ログ」を選択します。
「プロトコル構成」リストで「Microsoft Security Event Log over MSRPC」を選択します。
「ログ・ソース ID」リストで、イベントのポーリング対象の Windows システムの IP アドレスまたはホスト名を入力します。ホスト名は、完全修飾ドメイン名 (FQDN) を入力する必要があります (myhost.example.com など)。
「ドメイン」フィールドに、Windows システムのドメインを入力します。
ログ・ソースのユーザー名パラメーターおよびパスワード・パラメーターを構成します。
オプション: 「ポーリング間隔」フィールドを構成します。
注: 「ポーリング間隔 (秒)(Polling Interval (Sec))」フィールドは、WinCollect ログ・ソースのように、ログ・ソース・パフォーマンスを調整することはありません。低いイベント速度システムを制限された帯域幅でポーリングするには、ネットワーク使用量を削減するためにポーリング間隔を大きくします。
「イベント・スロットル (Event Throttle)」フィールドを構成します。
「プロトコル・タイプ」リストで、オペレーティング・システムに対するプロトコル・タイプを選択します。
「標準ログ・タイプ (Standard Log Types)」チェック・ボックスを 1 つ以上選択します。
重要: Microsoft セキュリティー・イベント・ログ・プロトコルまたは MSRPC 経由の Microsoft セキュリティー・イベント・ログ・プロトコルを使用する場合は、ターゲット Windows ホストでサポートされるログ・タイプのみを選択します。
「イベント・タイプ (Event Types)」チェック・ボックスを 1 つ以上選択します。
「保存」をクリックします。
「管理」タブで「変更のデプロイ」をクリックします。