MSRPC プロトコルを使用した Microsoft セキュリティー・イベント・ログ

Microsoft Security Event Log over Microsoft Remote Procedure Call (MSRPC)プロトコルは、WindowsホストにインストールされたエージェントなしでWindowsイベントを収集するアクティブ・アウトバウンド・プロトコルである。

MSRPC プロトコルは、エージェントレスで暗号化されたイベント収集を提供するために、Microsoft Distributed Computing Environment (DCE) または Remote Procedure Call (RPC) 仕様を使用します。

以下の表に、サポートされる MSRPC プロトコルの機能をリストします。

表 1. サポートされる MSRPC プロトコルの機能
機能 MSRPC プロトコルを使用した Microsoft セキュリティー・イベント・ログ
最大 EPS 速度 100 EPS/Windows ホスト
全体の MSRPC の最大 EPS 速度 8500 EPS/ IBM QRadar 16xx または 18xx アプライアンス
サポートされるログ・ソースの最大数 500 ログ・ソース/ QRadar 16xx または 18xx アプライアンス
バルク・ログ・ソース・サポート はい
暗号化 はい
対応Windowsオペレーティングシステム

Windows Server 2022 (Core を含む) WinCollect v10.1.2 以降

Windows Server 2019 (Core を含む)

Windows Server 2016 (Core を含む)

Windows Server 2012 (Core を含む)

Windows 10

Windows 11 WinCollect v10.1.2 およびそれ以降
必要な権限 ログ・ソース・ユーザーは、「Event Log Readers」グループのメンバーでなければなりません。 このグループが設定されていない場合、ドメイン全体で Windowsイベントログをポーリングするにはドメイン管理者権限が必要である。 Microsoft Group Policy Objectsの設定によっては、バックアップオペレーターグループが使用されることもあります。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
必須 Rational Portfolio Manager (RPM) ファイル PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Windows のサービス条件
  • リモート・プロシージャー・コール (RPC)
  • RPC エンドポイント・マッパー
Windows のポート条件
  • TCP ポート 135
  • TCP ポート 445
  • RPC に動的に割り振られる、ポート 49152 から ポート 65535 までの TCP ポート
特殊機構 デフォルトで暗号化イベントがサポートされます。
自動的に検出? いいえ
ID を含む? はい
カスタム・プロパティーを含む? Windows カスタム イベント プロパティを含むセキュリティ コンテンツ パックは、IBM® Fix Central で入手できます。
対象用途 ログ・ソースあたり 100 EPS をサポート可能な Windows オペレーティング・システムに対するエージェントレス・イベント収集。
チューニング・サポート MSRPCはWindowsホストあたり100EPSに制限されている。 より高いイベント率のシステムについては、 IBM QRadar WinCollect User Guideを参照してください。
詳細情報 マイクロソフトのサポート (http://support.microsoft.com/)