Parametry MSRPC na hostach Windows

Aby umożliwić komunikację między hostem Windows™ i systemem IBM® QRadar® za pośrednictwem protokołu MSRPC, należy skonfigurować ustawienia Remote Procedure Call (RPC) na hoście Windows dla protokołu Microsoft™ Remote Procedure Calls (MSRPC).

Aby włączyć komunikację MSRPC między hostem Windows a urządzeniem QRadar , użytkownik musi być członkiem grupy administratorów.

Na podstawie testów wydajności urządzenia IBM QRadar QRadar Event Processor 1628 z 128 GB pamięci RAM i 40 rdzeniami (procesor Intel™(R) Xeon (R) E5-2680 v2 @ 2.80 GHz) pomyślnie osiągnięto szybkość 8500 zdarzeń na sekundę (eps), jednocześnie odbierając i przetwarzając dzienniki z innych systemów innych niż Windows. Limit źródła dziennika wynosi 500.
Specyfikacja Wartość
Producent Microsoft
Typ protokołu

Zależny od systemu operacyjnego typ protokołu procedury zdalnej dla gromadzenia zdarzeń.

Z listy Typ protokołu wybierz jedną z następujących opcji:

MS-EVEN6
Domyślny typ protokołu dla nowych źródeł dzienników.
Typ protokołu, który jest używany przez QRadar do komunikacji z systemami Windows Vista i Windows Server 2008 i nowszymi.
MS-EVEN (Windows XP/2003)
Typ protokołu używanego przez QRadar do komunikacji z systemami Windows XP i Windows Server 2003.
Systemy Windows XP i Windows Server 2003 nie są obsługiwane przez firmę Microsoft. Użycie tej opcji może zakończyć się niepowodzeniem.
automatyczne wykrywanie (dla wcześniejszych konfiguracji)
W poprzednich konfiguracjach źródła dziennika dla produktu Microsoft Windows Security Event Log DSM używany jest typ protokołu automatycznego wykrywania (dla wcześniejszych konfiguracji) .
Zaktualizuj do protokołu MS_EVEN6 lub MS-EVEN (dla Windows XP/2003) .
obsługiwane wersje

Windows Server 2022 (w tym Core) WinCollect v10.1.2 i nowsze

Windows Server 2019 (w tym Core)

Windows Server 2016 (w tym Core)

Windows Server 2012 (w tym Core)

Windows 11 WinCollect v10.1.2 i nowsze

Windows 10
Zamierzone zastosowanie Bezagentowe gromadzenie zdarzeń dla systemów operacyjnych Windows, które może obsługiwać 100 EPS dla każdego źródła dziennika.
Maksymalna liczba obsługiwanych źródeł dzienników 500 źródeł dzienników protokołu MSRPC dla każdego zarządzanego hosta (urządzenie16xx lub 18xx )
Maksymalna całkowita szybkość EPS dla MSRPC 8500 EPS dla każdego zarządzanego hosta
Cechy specjalne Domyślnie obsługuje zaszyfrowane zdarzenia.
Wymagane uprawnienia Użytkownik źródłowy dziennika musi należeć do grupy Czytników dziennika zdarzeń . Jeśli ta grupa nie jest skonfigurowana, w większości przypadków wymagane są uprawnienia administratora domeny do odpytywania dziennika zdarzeń systemu Windows w domenie. W niektórych przypadkach grupa Operatory kopii zapasowej może być również używana w zależności od sposobu skonfigurowania obiektów zasad grupy firmy Microsoft.
Użytkownicy systemów operacyjnych Windows XP i 2003 wymagają prawa do odczytu następujących kluczy rejestru:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
Obsługiwane typy zdarzeń Twórca

System

Usługi z dziedziny bezpieczeństwa

Serwer DNS

Replikacja plików

Dzienniki usługi katalogowej
Wymagania usługi Windows
W przypadku systemów Windows Server 2008 i Windows Vista należy użyć następujących usług:
  • Zdalne wywołanie procedury (Remote Procedure Call-RPC)
  • Program odwzorowujący punkt końcowy RPC

W systemie Windows 2003 należy użyć rejestru zdalnego i serwera.
Wymagania dotyczące portów Windows Upewnij się, że zewnętrzne firewalle między hostem Windows i urządzeniem QRadar są skonfigurowane tak, aby zezwolić na przychodzące i wychodzące połączenia TCP na następujących portach:
W przypadku systemów Windows Server 2008 i Windows Vista należy użyć następujących portów:
  • Port TCP 135
  • Port TCP, który jest dynamicznie przydzielany dla RPC, powyżej 49152
W systemie Windows 2003 należy użyć następujących portów:
  • Port TCP 445
  • Port TCP 139
Automatycznie wykryte? Nie
Zawiera tożsamość? Tak
Zawiera właściwości niestandardowe? Pakiet treści zabezpieczeń z niestandardowymi właściwościami zdarzeń systemu Windows jest dostępny w serwisie IBM Fix Central.
Wymagane pliki RPM PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Dodatkowe informacje Wsparcie dla firmy Microsoft (http://support.microsoft.com/)
Dostępne narzędzie do rozwiązywania problemów Narzędzie testowe MSRPC jest częścią pakietu RPM protokołu MSRPC. Po zainstalowaniu pakietu RPM protokołu MSRPC, narzędzie testowe MSRPC można znaleźć w katalogu /opt/qradar/jars