Protokół Microsoft Security Event Log over MSRPC Protocol
Protokół Microsoft Security Event Log over MSRPC (MSRPC) jest aktywnym protokołem wychodzącym, który gromadzi zdarzenia Windows bez zainstalowanego agenta na hoście Windows.
Protokół MSRPC korzysta ze specyfikacji Microsoft Distributed Computing Environment/Remote Procedure Call (DCE/RPC) w celu udostępnienia bezagentowej, zaszyfrowanej kolekcji zdarzeń.
Poniższa tabela zawiera listę obsługiwanych funkcji protokołu MSRPC.
| Funkcje | Protokół Microsoft Security Event Log over MSRPC |
|---|---|
| Producent | Microsoft |
| Narzędzie do testowania połączenia | Narzędzie testowe MSRPC sprawdza połączenia między urządzeniem QRadar® i hostem Windows. Narzędzie testowe MSRPC jest częścią protokołu RPM protokołu MSRPC i można je znaleźć w /opt/qradar/jars po zainstalowaniu protokołu. Więcej informacji na ten temat zawiera sekcja Narzędzie testowe MSRPC (http://www.ibm.com/support/docview.wss?uid=swg21959348). |
| Typ protokołu | Typ protokołu procedury zdalnej do gromadzenia zdarzeń. Typ protokołu zależy od używanego systemu operacyjnego. Z listy Typ protokołu wybierz jedną z następujących opcji:
Ważne: Opcja MS-EVEN (dla systemu Windows XP/2003) nie jest już obsługiwana. Jednak nadal jest ona wyświetlana na liście Typ protokołu .
|
| Maksymalna szybkość EPS | host 100 EPS/Windows |
| Maksymalna ogólna szybkość EPS MSRPC | Urządzenie 8500 EPS/ IBM® QRadar 16xx lub 18xx |
| Maksymalna liczba obsługiwanych źródeł dziennika | 500 źródeł dzienników/urządzenia QRadar 16xx lub 18xx |
| Obsługa źródeł dziennika masowego | Tak |
| Szyfrowanie | Tak |
| Obsługiwane typy zdarzeń | Aplikacja System Zabezpieczenia Serwer DNS Replikacja plików Dzienniki usługi katalogowej |
| Obsługiwane systemy operacyjne Windows | Windows Server 2022 (w tym Core) WinCollect v10.1.2 i nowsze Windows Server 2019 (w tym Core) Windows Server 2016 (w tym Core) Windows Server 2012 (w tym Core) Windows 10 Windows 11 WinCollect v10.1.2 i nowsze |
| Wymagane uprawnienia | Użytkownik źródłowy dziennika musi być członkiem grupy Readers dziennika zdarzeń. Jeśli ta grupa nie jest skonfigurowana, zwykle wymagane są uprawnienia administratora domeny, aby odpytywać dziennik zdarzeń systemu Windows w domenie. W niektórych przypadkach grupa operatorów kopii zapasowych może być używana w zależności od konfiguracji obiektów strategii grupy Microsoft.
|
| Wymagane pliki RPM | PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm |
| Wymagania dotyczące usług Windows |
|
| Wymagania dotyczące portów systemu Windows |
|
| Cechy specjalne | Domyślnie obsługuje szyfrowane zdarzenia. |
| Czy został automatycznie wykryty? | Nie |
| Czy zawiera tożsamość? | Tak |
| Zawiera właściwości niestandardowe? | Pakiet treści zabezpieczeń zawierający niestandardowe właściwości zdarzeń systemu Windows jest dostępny w serwisie IBM Fix Central. |
| Zamierzona aplikacja | Bezagentowa kolekcja zdarzeń dla systemów operacyjnych Windows, które mogą obsługiwać 100 EPS dla każdego źródła dziennika. |
| Obsługa strojenia | MSRPC jest ograniczone do hosta 100 EPS/Windows. Więcej systemów częstotliwości zdarzeń znajduje się w publikacji IBM QRadar WinCollect User Guide. |
| Obsługa filtrowania zdarzeń | MSRPC nie obsługuje filtrowania zdarzeń. Informacje na ten temat zawiera publikacja IBM QRadar WinCollect User Guide . |
| Więcej informacji | Wsparcie dla firmy Microsoft (http://support.microsoft.com/) |