Microsoft Windows セキュリティー・イベント・ログから収集されたアプリケーション・イベントの XML レベル・タグを解析するためのQRadarの構成

デフォルトでは、 Microsoft Windows セキュリティー・イベント・ログは、XML 形式のアプリケーション・イベントの QID を判別するときにレベル・タグを解析しません。 Microsoft Windows セキュリティー・イベント・ログ DSM のレベル・タグの構文解析を有効にする場合は、DSM エディターを使用してマッピングを有効にします。

手順

  1. 「管理」 タブをクリックします。
  2. 「データ・ソース」 セクションで、 「DSM エディター」をクリックします。
  3. 「ログ・ソース・タイプの選択」 ウィンドウで、リストから Microsoft Windows 「セキュリティー・イベント・ログ」 を選択し、 「選択」をクリックします。
  4. 「構成」 タブで、 「DSM パラメーター構成の表示 (Display DSM Parameters Configuration)」 onに設定します。
  5. 「イベント・コレクター」 リストから、ログ・ソースのイベント・コレクターを選択します。
  6. 「XML アプリケーション・イベントの XML タグを使用可能にする (Enable XML Tag For XML Application events)」onに設定します。
  7. 「保存」 をクリックして、DSM エディターを閉じます。