Opções de configuração para sistemas com políticas restritas para credenciais do controlador de domínio
Os usuários com as permissões de acesso remoto apropriadas podem ser capazes de coletar eventos de sistemas remotos sem o uso de credenciais de administrador de domínio. Dependendo de quais informações você coleta, o usuário pode precisar de permissões extras. Por exemplo, um usuário pode precisar coletar logs de eventos de Segurança remotamente. Portanto, o usuário configurado na origem de log do QRadar® deve ter acesso remoto ao log de eventos de Segurança a partir do servidor no qual o Agente está instalado.
- Logs para eventos de segurança, sistema e aplicativo
- O registro remoto
- Quaisquer diretórios que contenham arquivos .dll ou .exe que contenham informações de sequência de mensagem
Com certas combinações de políticas de sistema operacional e grupo do Windows em vigor, configurações alternativas podem não ser possíveis
A coleta remota dentro ou através de um domínio do Windows pode requerer credenciais de administrador de domínio para assegurar que os eventos possam ser coletadas Se suas políticas corporativas restringirem o uso de credenciais de administrador de domínio, poderá ser necessário concluir mais etapas de configuração para a implementação do WinCollect
| Permissões | Origens de log |
|---|---|
| A conta de serviço precisa ser capaz de acessar a pasta em que o arquivo de log está e abrir o arquivo. |
|
| O usuário de origem de log deve ser membro do grupo Leitores de log de eventos. Se esse grupo não for configurado, os privilégios administrativos de domínio geralmente serão necessários para pesquisar um log de eventos do Windows em um domínio | Microsoft Windows Security Event Log |
Quando os agentes do WinCollect coletam eventos do host local, o serviço de coleção de eventos usa as credenciais da conta do Sistema Local para coletar e encaminhar eventos A coleção local requer que você instale um agente do WinCollect em um host no qual a coleção local ocorre