Microsoft Windows Security Event Log
O DSM do IBM® QRadar para o Microsoft Windows Security Event Log aceita eventos syslog dos sistemas Microsoft Windows. Todos os eventos, incluindo o Sysmon e o winlogbeats.json, são suportados.
Para a coleção de eventos dos sistemas operacionais
Microsoft, o
QRadar suporta
os protocolos a seguir:
- Syslog (Desejados para Snare, BalaBit e outras soluções Windows de terceiros).
- Forwarded. Para obter mais informações, consulte Opções de configuração de protocolo redirecionado.
- TLS Syslog. Para obter mais informações, consulte Opções de configuração de protocolo syslog TLS.
- TCP Multiline Syslog. Para obter mais informações, consulte Opções de configuração de protocolo syslog de multilinhas TCP.
- Windows Event Log (WMI). Consulte IBM QRadar Vulnerability Manager User Guide.
- Windows Event Log Custom (WMI). Consulte IBM QRadar Vulnerability Manager User Guide.
- MSRPC (Microsoft Security Event Log over MSRPC). Para obter mais informações, consulte Protocolo Microsoft Security Event Log sobre MSRPC.
- WinCollect. Consulte Guia do Usuário do IBM QRadar WinCollect.
- WinCollect NetApp Data ONTAP. Consulte Guia do Usuário do IBM QRadar WinCollect.
- Protocolo Amazon Web Services do AWS CloudWatch. Para obter mais informações, consulte Opções de configuração de protocolo do Amazon Web Services e Como fazer upload de meus logs do Windows para o CloudWatch? (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
-
Microsoft Azure Event Hubs. Para obter mais informações, consulte as Opções de configuração do protocolo Microsoft Azure Event Hubs e Instalar e configurar a extensão do Windows Azure Diagnostics (WAD) - Azure Monitor (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install).
Assegure-se de que você tenha uma conta de armazenamento do Azure e um hub de eventos do Azure.
- Opcional: criar uma conta de armazenamento. Para obter mais informações, consulte Criar uma conta de armazenamento (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).Importante: Deve-se ter uma conta de armazenamento para se conectar a um hub de eventos. Para obter mais informações, consulte o FAQ do protocolo Microsoft Azure Event Hubs.
- Opcional: criar um hub de eventos. Para obter mais informações, consulte Iniciação rápida: criar um hub de eventos usando o portal Azure (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create).
- Opcional: criar uma conta de armazenamento. Para obter mais informações, consulte Criar uma conta de armazenamento (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).