Dziennik zdarzeń zabezpieczeń systemu Microsoft Windows
Produkt IBM® QRadar® DSM dla systemu Microsoft™ Windows™ Security Event Log akceptuje zdarzenia syslog z systemów Microsoft Windows . Obsługiwane są wszystkie zdarzenia, w tym zdarzenia Sysmon i winlogbeats.json.
Ważne: Obsługa protokołów dziennika zdarzeń systemu Windows zakończyła się dnia 31 października 2022 r. Aby kontynuować gromadzenie zdarzeń dziennika zdarzeń systemu Windows, należy wybrać nowy typ protokołu z listy obsługiwanych protokołów. Więcej informacji na temat zakończenia wsparcia zawiera publikacja QRadar: End of life announcement for WMI Microsoft Windows Security Event Log protocols (31 października 2022) (https://www.ibm.com/support/pages/node/6616223).
W przypadku gromadzenia zdarzeń z systemów operacyjnych Microsoft produkt QRadar obsługuje następujące protokoły:
- Syslog (przeznaczony dla Snare, BalaBiti innych rozwiązań Windows innych firm).
- Przekazane. Więcej informacji na ten temat zawiera sekcja Opcje konfiguracyjne protokołu przekazującego.
- Dziennik syslog TLS. Więcej informacji na ten temat zawiera sekcja Opcje konfiguracyjne protokołu syslog TLS.
- Wielomierszowy dziennik syslog TCP. Więcej informacji na ten temat zawiera sekcja Opcje konfiguracyjne protokołu TCP Multiline Syslog.
- MSRPC (Microsoft Security Event Log over MSRPC). Więcej informacji na ten temat zawiera sekcja Microsoft Security Event Log over MSRPC Protocol.
- WinCollect. Patrz publikacja IBM QRadar WinCollect User Guide.
- WinCollect NetApp Data ONTAP. Patrz publikacja IBM QRadar WinCollect User Guide.
- Protokół Amazon Web Services firmy AWS CloudWatch. Więcej informacji na ten temat zawiera sekcja Opcje konfiguracji protokołuAmazon Web Services oraz sekcja Jak przesłać dzienniki systemu Windows do usługi CloudWatch? (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
- Microsoft Azure koncentratorów zdarzeń. Więcej informacji na ten temat zawiera sekcja Opcje konfiguracji protokołu koncentratorów zdarzeńMicrosoft Azure oraz sekcja Instalowanie i konfigurowanie rozszerzenia diagnostycznego Windows Azure (WAD)- Azure Monitor (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install).
Upewnij się, że masz konto pamięci masowej Azure i koncentrator zdarzeń Azure .
- Opcjonalnie: utwórz konto pamięci masowej. Więcej informacji na ten temat zawiera sekcja Tworzenie konta pamięci masowej (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).Ważne: Aby połączyć się z koncentratorem zdarzeń, należy mieć konto pamięci masowej. Więcej informacji na ten temat zawiera sekcja Microsoft Azure Event Hubs protocol FAQ(Często zadawane pytania dotyczące protokołu koncentratorów zdarzeń).
- Opcjonalnie: utwórz koncentrator zdarzeń. Więcej informacji na ten temat zawiera sekcja Szybki start: tworzenie koncentratora zdarzeń za pomocą portalu Azure (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create).
- Opcjonalnie: utwórz konto pamięci masowej. Więcej informacji na ten temat zawiera sekcja Tworzenie konta pamięci masowej (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).