Protocolo Microsoft Security Event Log sobre MSRPC
O protocolo Microsoft Security Event Log over MSRPC (MSRPC) é um protocolo de saída/ativo que coleta eventos do Windows sem instalar um agente no host do Windows.
O protocolo MSRPC usa a especificação Microsoft Distributed Computing Environment/Remote Procedure Call (DCE/RPC) para fornecer uma coleção de eventos criptografada e sem agente. O protocolo MSRPC fornece maiores taxas de eventos do protocolo padrão Microsoft Windows Security Event Log, que usa WMI/DCOM para coleção de eventos.
A tabela a seguir lista os recursos suportados do protocolo MSRPC.
| Variáveis | Protocolo Microsoft Security Event Log sobre MSRPC |
|---|---|
| Fabricante | Microsoft |
| Ferramenta de teste de conexão | A ferramenta de teste MSRPC verifica a conexão entre o dispositivo QRadar e um host Windows. A ferramenta de teste MSRPC faz parte do RPM do protocolo MSRPC e pode ser localizada em /opt/qradar/jars depois de instalar o protocolo. Para obter mais informações, consulte Ferramenta de teste MSRPC (http://www.ibm.com/support/docview.wss?uid=swg21959348) |
| Tipo de Protocolo |
O tipo de sistema operacional dependente do protocolo de procedimento remoto para coleção de eventos. Selecione uma das opções da lista Tipo de protocolo a seguir:
|
| Taxa máxima de EPS | 100 EPS/hosts Windows |
| Taxa de EPS geral máxima de MSRPC | 8500 EPS/dispositivo IBM® QRadar 16xx ou 18xx |
| Número máximo de origens de log suportadas | 500 origens de log/dispositivo QRadar 16xx ou 18xx |
| Suporte de origem de log em massa | SIM |
| POP | SIM |
| Tipos de eventos suportados |
Aplicativo Sist. Segurança Servidor DNS Replicação de Arquivos logs de Serviço de diretório |
| Sistemas operacionais Windows suportados |
Windows Server 2019 (incluindo Núcleo) Windows Server 2016 (incluindo Núcleo) Windows Server 2012 (incluindo Núcleo) Windows 10 |
| Permissões requeridas | O usuário de origem de log deve ser um membro do grupo Leitores do log de eventos. Se esse grupo não estiver configurado, os privilégios do administrador de domínio serão necessários na maioria dos casos para
pesquisar um log de eventos do Windows em um domínio. Em alguns casos, o grupo de operadores de backup pode
ser usado dependendo de como os Objetos de política de grupo da Microsoft estão configurados.
|
| Arquivos RPM necessários | PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm |
| Requisitos do serviço do Windows |
|
| Requisitos de porta do Windows |
|
| Recursos Especiais | Suporta eventos criptografados por padrão. |
| Descobertos automaticamente? | NÃO |
| Inclui identidade? | SIM |
| Inclui propriedades customizadas? | Um pacote de conteúdo de segurança com as propriedades de evento customizado do Windows está disponível no Fix Central da IBM. |
| Aplicação desejada | A coleção de eventos sem agente para os sistemas operacionais Windows que podem suportar 100 EPS por origem de log. |
| Ajustando o suporte | O MSRPC está limitado a 100 EPS/host do Windows. Para sistemas de taxa de eventos mais alta, consulte o Guia do Usuário do IBM QRadar WinCollect. |
| Suporte de filtragem de eventos | O MSRPC não suporta filtragem de eventos. Consulte o Guia do Usuário do IBM QRadar WinCollect para este recurso. |
| Informações adicionais | Suporte da Microsoft (http://support.microsoft.com/) |
Em contraste com WMI/DCOM, o protocolo MSRPC fornece o dobro do EPS. As taxas de eventos são mostradas na tabela a seguir.
| Name | Tipo de Protocolo | Taxa máxima de evento |
|---|---|---|
| Microsoft Security Event Log | WMI/DCOM | 50 EPS/hosts Windows |
| Microsoft Security Event Log sobre MSRPC | MSRPC | 100 EPS/host Windows |