Microsoft Windows 安全事件日誌
IBM® QRadar® DSM for Microsoft™ Windows™ 安全事件日誌接受來自 Microsoft Windows 系統的 syslog 事件。 支援所有事件,包括 Sysmon 及 winlogbeats.json。
重要事項: Windows 事件日誌通訊協定支援於 2022 年 10 月 31 日結束。 若要繼續收集「Windows 事件日誌」事件,您必須從支援的通訊協定清單中選取新的通訊協定類型。 如需結束支援的相關資訊,請參閱 QRadar: WMI 型 Microsoft Windows Security Event Log protocols (31 Oct 2022) 的使用期限公告 (https://www.ibm.com/support/pages/node/6616223)。
對於來自 Microsoft 作業系統的事件收集, QRadar 支援下列通訊協定:
- Syslog (預期 Snare、 BalaBit及其他協力廠商 Windows 解決方案)。
- 已轉遞。 如需相關資訊,請參閱 轉遞通訊協定配置選項。
- TLS Syslog。 如需相關資訊,請參閱 TLS Syslog 通訊協定配置選項。
- TCP 多行 Syslog。 如需相關資訊,請參閱 TCP 多行 Syslog 通訊協定配置選項。
- MSRPC (透過 MSRPC 的 Microsoft 安全事件日誌)。 如需相關資訊,請參閱 透過 MSRPC 通訊協定的 Microsoft Security 事件日誌。
- WinCollect. 請參閱 IBM QRadar WinCollect User Guide。
- WinCollect NetApp Data ONTAP。 請參閱 IBM QRadar WinCollect User Guide。
- 來自 AWS CloudWatch的 Amazon Web Services 通訊協定。 如需相關資訊,請參閱 Amazon Web Services 通訊協定配置選項 及 如何將 Windows 日誌上傳至 CloudWatch? (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
- Microsoft Azure 事件中心。 如需相關資訊,請參閱 Microsoft Azure 事件中心通訊協定配置選項 及 安裝及配置 Windows Azure 診斷延伸 (WAD)- Azure 監視器 (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install)。
確保您具有 Azure 儲存體帳戶和 Azure 事件中心。
- 選用項目: 建立儲存體帳戶。 如需相關資訊,請參閱 建立儲存體帳戶 (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal)。重要事項: 您必須具有儲存空間帳戶才能連接至事件中心。 如需相關資訊,請參閱 Microsoft Azure 事件中心通訊協定常見問題 (FAQ)。
- 選用項目: 建立事件中心。 如需相關資訊,請參閱 Quickstart: 使用 Azure 入口網站建立事件中心 (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create)。
- 選用項目: 建立儲存體帳戶。 如需相關資訊,請參閱 建立儲存體帳戶 (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal)。