Microsoft Windows Security Event Log

Microsoft Windows セキュリティー・イベント・ログ用の IBM® QRadar® DSM は、 Microsoft Windows システムからの syslog イベントを受け入れます。 Sysmon および winlogbeats.json を含むすべてのイベントがサポートされます。

重要: Windows イベント・ログ・プロトコルのサポートは 2022 年 10 月 31 日に終了しました。 Windows イベント・ログ・イベントの収集を続行するには、サポートされるプロトコルのリストから新しいプロトコル・タイプを選択する必要があります。サポートの終了について詳しくは、 QRadar: End of life announcement for WMI-based Microsoft Windows Security Event Log protocols (31 Oct 2022) (https://www.ibm.com/support/pages/node/6616223) を参照してください。

Microsoft オペレーティング・システムからのイベント収集の場合、 QRadar は以下のプロトコルをサポートします。

Syslog (Snare、 BalaBit、およびその他のサード・パーティー Windows ソリューションが対象)。
転送。詳しくは、 Forwarded プロトコルの構成オプションを参照してください。
TLS Syslog。詳しくは、 TLS Syslog プロトコルの構成オプションを参照してください。
TCP 複数行 Syslog。詳しくは、 TCP 複数行 Syslog プロトコルの構成オプションを参照してください。
MSRPC (MSRPC 経由の Microsoft セキュリティー・イベント・ログ)。詳しくは、 Microsoft Security Event Log over MSRPC Protocolを参照してください。
WinCollect. IBM QRadar WinCollect User Guideを参照してください。
WinCollect NetApp Data ONTAP。 IBM QRadar WinCollect User Guideを参照してください。
AWS CloudWatch の Amazon Web Services プロトコル。詳しくは、 Amazon Web Services プロトコルの構成オプションおよび Windows ログを CloudWatchにアップロードする方法を参照してください。 (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
Microsoft Azure Event Hubs。詳しくは、 Microsoft Azure Event Hubs プロトコルの構成オプションおよび Windows Azure 診断拡張機能 (WAD) のインストールと構成- Azure Monitor (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install) を参照してください。
Azure ストレージ・アカウントと Azure イベント・ハブがあることを確認します。
1. オプション: ストレージ・アカウントを作成します。詳細については、ストレージ・アカウントの作成 (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal) を参照してください。
  重要: イベント・ハブに接続するには、ストレージ・アカウントが必要です。詳しくは、 Microsoft Azure Event Hubs プロトコルの FAQを参照してください。
2. オプション: イベント・ハブを作成します。詳細については、「クイック・スタート: Azure ポータルを使用したイベント・ハブの作成」 (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create)を参照してください。