MSRPC プロトコルを使用した Microsoft セキュリティー・イベント・ログ

Microsoft Security Event Log over MSRPC プロトコル (MSRPC) は、Windows ホストにエージェントをインストールせずに Windows イベントを収集するアクティブなアウトバウンド・プロトコルです。

MSRPC プロトコルは、Microsoft Distributed Computing Environment/Remote Procedure Call (DCE/RPC) 仕様を使用して、エージェントレスで暗号化されたイベント収集を行います。

以下の表に、サポートされる MSRPC プロトコルの機能をリストします。

表 1. サポートされる MSRPC プロトコルの機能
機能 MSRPC プロトコルを使用した Microsoft セキュリティー・イベント・ログ
製造元 Microsoft
接続テスト・ツール MSRPC テスト・ツールは、 QRadar® アプライアンスと Windows ホストの間の接続を検査します。 MSRPC テスト・ツールは MSRPC プロトコル RPM の一部で、プロトコルのインストール後に /opt/qradar/jars から見つけることができます。 詳しくは、 MSRPC テスト・ツール (http://www.ibm.com/support/docview.wss?uid=swg21959348) を参照してください。
プロトコル・タイプ

イベントを収集するためのリモート・プロシージャー・プロトコル・タイプ。 プロトコル・タイプは、ご使用のオペレーティング・システムによって異なります。

「プロトコル・タイプ (Protocol Type)」リストから、次のオプションのいずれかを選択します。

MS-EVEN6
新しいログ・ソースのデフォルトのプロトコル・タイプ。
QRadar が Windows Vista および Windows Server 2012 以降との通信に使用するプロトコル・タイプ。
重要: MS-EVEN (Windows XP/2003の場合) オプションはサポートされなくなりました。 ただし、 「プロトコル・タイプ」 リストには引き続き表示されます。
自動検出 (レガシー構成用)
Microsoft Windows セキュリティー・イベント・ログ DSM の以前のログ・ソース構成では、 「自動検出 (レガシー構成の場合)」 プロトコル・タイプを使用します。
MS_EVEN6 プロトコル・タイプにアップグレードします。
最大 EPS 速度 100 EPS/Windows ホスト
全体の MSRPC の最大 EPS 速度 8500 EPS/ IBM® QRadar 16xx または 18xx アプライアンス
サポートされるログ・ソースの最大数 500 ログ・ソース/ QRadar 16xx または 18xx アプライアンス
バルク・ログ・ソース・サポート はい
暗号化 はい
サポートされるイベント・タイプ

アプリケーション

システム

安全

DNS サーバー

ファイル複製

ディレクトリー・サービスのログ
サポートされる Windows オペレーティング・システム

Windows Server 2022 (Core を含む) WinCollect v10.1.2 以上

Windows Server 2019 (Core を含む)

Windows Server 2016 (Core を含む)

Windows Server 2012 (Core を含む)

Windows 10

Windows 11 WinCollect v10.1.2 以上
必要な権限 ログ・ソース・ユーザーは、「Event Log Readers」グループのメンバーでなければなりません。 このグループが構成されていない場合、ドメイン全体で Windows イベント・ログをポーリングするには、通常、ドメイン管理者特権が必要です。 場合によっては、Microsoft グループ・ポリシー・オブジェクトの構成方法に応じて、バックアップ・オペレーター・グループを使用できます。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
必要な RPM ファイル PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Windows のサービス条件
  • リモート・プロシージャー・コール (RPC)
  • RPC エンドポイント・マッパー
Windows のポート条件
  • TCP ポート 135
  • TCP ポート 445
  • RPC に動的に割り振られる、ポート 49152 から ポート 65535 までの TCP ポート
特殊機構 デフォルトで暗号化イベントがサポートされます。
自動的に検出? いいえ
ID を含む? はい
カスタム・プロパティーを含む? Windows カスタム・イベント・プロパティーを含むセキュリティー・コンテンツ・パックは、IBM Fix Central で入手できます。
対象用途 ログ・ソースあたり 100 EPS をサポート可能な Windows オペレーティング・システムに対するエージェントレス・イベント収集。
チューニング・サポート MSRPC は 100 EPS/Windows ホストに制限されています。 より高いイベント率のシステムについては、 IBM QRadar WinCollect User Guideを参照してください。
イベントのフィルタリング・サポート MSRPC はイベントのフィルタリングをサポートしません。 この機能については、 IBM QRadar WinCollect User Guide を参照してください。
詳細情報 Microsoft サポート (http://support.microsoft.com/)