Windows anasistemlerinde MSRPC parametreleri

Windows™ anasisteminizle IBM® QRadar® arasında MSRPC üzerinden iletişimi etkinleştirmek için, Windows anasisteminde Uzak Yordam Çağrıları (RPC) ayarlarını Microsoft™ Uzak Yordam Çağrıları (MSRPC) iletişim kuralı için yapılandırın.

Windows anasisteminizle QRadar aracı arasında MSRPC üzerinden iletişimi etkinleştirmek için yöneticiler grubunun bir üyesi olmanız gerekir.

128 GB RAM ve 40 çekirdekli (Intel™(R) Xeon (R) CPU E5-2680 v2 @ 2.80 GHz) IBM QRadar QRadar Event Processor 1628 aygıtında gerçekleştirilen performans testlerine dayalı olarak, Windows dışındaki diğer sistemlerden günlükleri eşzamanlı olarak alırken ve işlerken saniyede 8500 olay (eps) oranı elde edildi. Günlük kaynağı sınırı 500 'dür.
Belirtim Değer
Üretici Firma Microsoft
Protokol tipi

Olayların toplanması için uzak yordam iletişim kuralının işletim sistemine bağlı tipi.

Protokol Tipi listesinden aşağıdaki seçeneklerden birini belirleyin:

MS-EVEN6
Yeni günlük kaynakları için varsayılan protokol tipi.
QRadar tarafından Windows Vista ve Windows Server 2008 ve sonrasıyla iletişim kurmak için kullanılan iletişim kuralı tipi.
MS-EVEN (Windows XP/2003için)
QRadar tarafından Windows XP ve Windows Server 2003 ile iletişim kurmak için kullanılan iletişim kuralı tipi.
Windows XP ve Windows Server 2003, Microsoft tarafından desteklenmez. Bu seçeneğin kullanılması başarılı olmayabilir.
otomatik algılama (eski yapılandırmalar için)
Microsoft Windows Security Event Log DSM için önceki günlük kaynağı yapılandırmaları, otomatik algılama (eski yapılandırmalar için) iletişim kuralı tipini kullanır.
MS_EVEN6 ya da MS-EVEN (Windows XP/2003için) iletişim kuralı tipine yükseltin.
Desteklenen sürümler

Windows Server 2022 (Core dahil) WinCollect v10.1.2 ve üzeri

Windows Server 2019 (Core dahil)

Windows Server 2016 (Çekirdek dahil)

Windows Server 2012 (Core dahil)

Windows 11 WinCollect v10.1.2 ve üstü

Windows 10
Amaçlanan uygulama Günlük kaynağı başına 100 EPS ' yi destekleyebilen Windows işletim sistemleri için aracısız olay toplama.
Desteklenen günlük kaynağı sayısı üst sınırı Her yönetilen anasistem için 500 MSRPC iletişim kuralı günlük kaynağı (16xx ya da 18xx aygıtı)
MSRPC ' nin genel EPS hızı üst sınırı Her yönetilen anasistem için 8500 EPS
Özel özellikler Varsayılan olarak şifrelenmiş olayları destekler.
Gerekli İzinler Günlük kaynağı kullanıcısı, Olay Günlüğü Okuyucular grubunun bir üyesi olmalıdır. Bu grup yapılandırılmadıysa, çoğu durumda etki alanı yönetici ayrıcalıkları, bir etki alanında Windows olay günlüğünü yoklamak için gereklidir. Bazı durumlarda, Yedekleme işleçleri grubu, Microsoft Grup İlkesi Nesnelerinin nasıl yapılandırıldığına bağlı olarak da kullanılabilir.
Windows XP ve 2003 işletim sistemi kullanıcılarının aşağıdaki kayıt anahtarlarına okuma erişimi gerekir:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
Desteklenen olay tipleri Uygulama

Sistem

Durumu

DNS Sunucusu

Dosya Eşleme

Dizin Hizmeti günlükleri
Windows hizmet gereksinimleri
Windows Server 2008 ve Windows Vista için aşağıdaki hizmetleri kullanın:
  • Uzak Yordam Çağrısı (RPC)
  • RPC Uç Noktası Eşleyici

Windows 2003 için Uzak Kayıt ve Sunucuyu kullanın.
Windows kapı gereksinimleri Windows anasistemi ve QRadar aygıtı arasındaki dış güvenlik duvarlarının, aşağıdaki kapılarda gelen ve giden TCP bağlantılarına izin verecek şekilde yapılandırıldığından emin olun:
Windows Server 2008 ve Windows Vista için aşağıdaki kapıları kullanın:
  • TCP kapısı 135
  • RPC için dinamik olarak ayrılan TCP kapısı, 49152 'nin üzerinde
Windows 2003 için aşağıdaki kapıları kullanın:
  • TCP kapısı 445
  • TCP kapısı 139
Otomatik olarak mı keşfedildi? Hayır
Kimlik dahil mi? Evet
Özel özellikleri dahil mi? IBM Fix Central' da Windows özel olay özelliklerine sahip bir güvenlik içerik paketi bulunur.
Gerekli RPM dosyaları PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Diğer bilgiler Microsoft desteği (http://support.microsoft.com/)
Sorun giderme aracı var MSRPC sınama aracı, MSRPC protokolü RPM ' nin bir parçasıdır. MSRPC iletişim kuralı devir/dakika hızının kuruluşundan sonra, MSRPC sınama aracını /opt/qradar/jars içinde bulabilirsiniz.