Microsoft Windows 安全事件日志
IBM QRadar DSM for Microsoft Windows 安全事件日志接受来自 Microsoft Windows 系统的系统日志事件。 支持所有事件,包括 Sysmon 和 winlogbeats.json。
重要信息: 对 Windows 事件日志协议的支持已于 2022 年 10 月 31 日结束。 要继续收集 Windows 事件日志事件,必须从受支持协议的列表中选择新的协议类型。 有关支持结束的更多信息,请参阅 QRadar: 基于 WMI 的 Microsoft Windows 安全事件日志协议的生命周期结束声明 (2022 年 10 月 31 日) (https://www.ibm.com/support/pages/node/6616223)。
对于来自 Microsoft 操作系统的事件收集, QRadar 支持以下协议:
- 系统日志(适用于 Snare、BalaBit, 和其他第三方 Windows 解决方案)。
- 已转发。 有关更多信息,请参阅 转发协议配置选项。
- TLS 系统日志。 有关更多信息,请参阅 TLS Syslog 协议配置选项。
- TCP 多行系统日志。 有关更多信息,请参阅 TCP Multiline Syslog 协议配置选项。
- MSRPC (Microsoft Security Event Log over MSRPC)。 有关详细信息,请参阅 Microsoft Security Event Log over MSRPC 协议。
- WinCollect. 请参阅 IBM QRadar WinCollect User Guide。
- WinCollect NetApp Data ONTAP。 请参阅 IBM QRadar WinCollect User Guide。
- 来自 AWS CloudWatch的 Amazon Web Services 协议。 有关详细信息,请参阅 Amazon Web Services 协议配置选项 和 如何将 Windows 日志上传到 CloudWatch? (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
- Microsoft Azure Event Hubs。 有关更多信息,请参阅 Microsoft Azure Event Hubs 协议配置选项 和 安装和配置 Windows Azure 诊断扩展 (WAD)- Azure Monitor (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install)。
确保您具有 Azure 存储帐户和 Azure 事件中心。
- 可选: 创建存储帐户。 有关更多信息,请参阅 创建存储帐户 (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal)。重要信息: 您必须具有存储器帐户才能连接到事件中心。 有关更多信息,请参阅 Microsoft Azure Event Hubs 协议常见问题。
- 可选: 创建事件中心。 有关更多信息,请参阅 Quickstart: 使用 Azure 门户网站创建事件中心 (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create)。
- 可选: 创建存储帐户。 有关更多信息,请参阅 创建存储帐户 (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal)。