Windows 主机上的 MSRPC 参数
要通过 MSRPC 启用 Windows 主机与 IBM QRadar 之间的通信,请在 Windows 主机上为 Microsoft 远程过程调用 (MSRPC) 协议配置远程过程调用 (RPC) 设置。
您必须是管理员组的成员,才能在 Windows 主机与 QRadar 设备之间通过 MSRPC 启用通信。
根据具有 128 GB RAM 和 40 个核心 (Intel (R) Xeon (R) CPU E5-2680 v2 @ 2.80 GHz) 的 IBM
QRadar QRadar Event
Processor 1628 设备上的性能测试,成功实现了每秒 8500 个事件 (eps) 的速率,同时从其他非 Windows 系统接收和处理日志。 日志源限制为 500。
| 规范 | 值 |
|---|---|
| 制造商 | 微软 |
| 协议类型 | 用于收集事件的远程过程协议的操作系统从属类型。 从 协议类型 列表中选择下列其中一个选项:
|
| 受支持的版本 | Windows Server 2022 (包括 Core) WinCollect v10.1.2 及更高版本 Windows Server 2019 (包括 Core) Windows Server 2016 (包括 Core) Windows Server 2012 (包括 Core) Windows 11 WinCollect v10.1.2 及更高版本 Windows 10 |
| 预期的应用程序 | 针对 Windows 操作系统的无代理程序事件收集,可支持每个日志源 100 EPS。 |
| 受支持的日志源的最大数目 | 每个受管主机 (16xx 或 18xx 设备) 的 500 个 MSRPC 协议日志源 |
| MSRPC 的最大总体 EPS 速率 | 每个受管主机 8500 EPS |
| 特殊功能 | 缺省情况下支持加密事件。 |
| 所需许可权 | 日志源用户必须是 事件日志读者 组的成员。 如果未配置此组,那么在大多数情况下需要域管理特权才能在域中轮询 Windows 事件日志。 在某些情况下,还可以根据 Microsoft 组策略对象的配置方式来使用 备份操作程序 组。 Windows XP 和 2003 操作系统用户需要对以下注册表键的读访问权:
|
| 受支持的事件类型 | 应用程序 系统 安全性 DNS 服务器 文件复制 目录服务日志 |
| Windows 服务需求 | 对于 Windows Server 2008 和 Windows Vista ,请使用以下服务:
对于 Windows 2003 ,请使用远程注册表和服务器。 |
| Windows 端口需求 | 确保 Windows 主机与 QRadar 设备之间的外部防火墙配置为允许以下端口上的入局和出局 TCP 连接: 对于 Windows Server 2008 和 Windows Vista ,请使用以下端口:
对于 Windows 2003 ,请使用以下端口:
|
| 自动发现? | 否 |
| 包含身份? | 是 |
| 是否包含定制属性? | IBM® Fix Central 上提供了带有 Windows 自定义事件属性的安全内容包。 |
| 必需的 RPM 文件 | PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm |
| 更多信息 | Microsoft 支持 (http://support.microsoft.com/) |
| 可用的故障诊断工具 | MSRPC 测试工具是 MSRPC 协议 RPM 的一部分。 安装 MSRPC 协议 RPM 后,可以在 /opt/qradar/jars 中找到 MSRPC 测试工具 |