Microsoft Windows Security Event Log
IBM QRadar DSM for Microsoft Windows Security Event Log는 Microsoft Windows 시스템의 syslog 이벤트를 채택합니다. Sysmon및 winlogbeats.json을 포함한 모든 이벤트가 지원됩니다.
중요: Windows 이벤트 로그 프로토콜에 대한 지원은 2022년 10월 31일에 종료됩니다. Windows 이벤트 로그 이벤트를 계속 수집하려면 지원되는 프로토콜 목록에서 새 프로토콜 유형을 선택해야 합니다. 지원 종료에 대한 자세한 정보는 QRadar: WMI 기반 Microsoft Windows Security Event Log 프로토콜 (2022년 10월 31일) 에 대한 수명 종료 공지사항 (https://www.ibm.com/support/pages/node/6616223) 을 참조하십시오.
Microsoft 운영 체제의 이벤트 콜렉션의 경우 QRadar 는 다음 프로토콜을 지원합니다.
- Syslog(스네어용, BalaBit, 및 기타 타사 Windows 솔루션용).
- 전달되었습니다. 자세한 정보는 전달된 프로토콜 구성 옵션을 참조하십시오.
- TLS Syslog입니다. 자세한 정보는 TLS Syslog 프로토콜 구성 옵션을 참조하십시오.
- TCP 다중 라인 Syslog. 자세한 정보는 TCP 다중 라인 Syslog 프로토콜 구성 옵션을 참조하십시오.
- MSRPC (MSRPC를 통한 Microsoft 보안 이벤트 로그). 자세한 내용은 MSRPC 프로토콜을 통한 Microsoft 보안 이벤트 로그를 참조하세요.
- WinCollect. IBM QRadar WinCollect User Guide를 참조하십시오.
- WinCollect NetApp Data ONTAP IBM QRadar WinCollect User Guide를 참조하십시오.
- AWS CloudWatch의 Amazon Web Services 프로토콜입니다. 자세한 내용은 Amazon Web Services 프로토콜 구성 옵션 및 CloudWatch?을 참조하세요 (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
- Microsoft Azure 이벤트 허브. 자세한 정보는 Microsoft Azure Event Hubs 프로토콜 구성 옵션 및 Windows Azure 진단 확장 (WAD) 설치 및 구성- Azure 모니터 (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install) 를 참조하십시오.
Azure 스토리지 계정 및 Azure 이벤트 허브가 있는지 확인하십시오.
- 선택사항: 스토리지 계정을 작성하십시오. 자세한 정보는 스토리지 계정 작성 (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal) 을 참조하십시오.중요: 이벤트 허브에 연결하려면 스토리지 계정이 있어야 합니다. 자세한 정보는 Microsoft Azure Event Hubs 프로토콜 FAQ를 참조하십시오.
- 선택사항: 이벤트 허브를 작성하십시오. 자세한 정보는 빠른 시작: Azure 포털을 사용하여 이벤트 허브 작성 (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create) 을 참조하십시오.
- 선택사항: 스토리지 계정을 작성하십시오. 자세한 정보는 스토리지 계정 작성 (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal) 을 참조하십시오.