Microsoft Security Event Log über MSRPC-Protokoll

Das Microsoft Security Event Log over Microsoft Remote Procedure Call (MSRPC)-Protokoll ist ein aktives, ausgehendes Protokoll, das Windows-Ereignisse sammelt, ohne dass ein Agent auf dem Windows-Host installiert ist.

Das MSRPC-Protokoll verwendet die Microsoft Distributed Computing Environment (DCE) oder Remote Procedure Call (RPC) Spezifikation, um eine agentenlose, verschlüsselte Ereignissammlung zu ermöglichen.

In der folgenden Tabelle sind die unterstützten Features des MSRPC-Protokolls aufgelistet.

Tabelle 1. Unterstützte Funktionen des MSRPC-Protokolls
Funktionen Microsoft Security Event Log über MSRPC-Protokoll
Maximale EPS-Rate 100 EPS/Windows-Host
Maximale EPS-Gesamtrate von MSRPC Appliance mit 8500 EPS/ IBM QRadar 16xx oder 18xx
Maximale Anzahl unterstützter Protokollquellen 500 Protokollquellen/ QRadar 16xx oder 18xx Appliance
Unterstützung für Massenprotokollquellen Ja
Verschlüsselung Ja
Unterstützte Windows-Betriebssysteme

Windows Server 2022 (einschließlich Core) WinCollect v10.1.2 und höher

Windows Server 2019 (einschließlich Core)

Windows Server 2016 (einschließlich Core)

Windows Server 2012 (einschließlich Core)

Windows 10

Windows 11 WinCollect v10.1.2 und höher
Erforderliche Berechtigungen Der Benutzer der Protokollquelle muss Mitglied der Lesergruppe für Ereignisprotokolle sein. Wenn diese Gruppe nicht konfiguriert ist, sind Domänenadministratorrechte erforderlich, um ein Windows-Ereignisprotokoll in einer Domäne abzurufen. Gelegentlich kann die Gruppe der Backup-Operatoren verwendet werden, je nachdem, wie Microsoft Group Policy Objects konfiguriert sind.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
Erforderliche Rational Portfolio Manager (RPM) Dateien PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Voraussetzungen für Windows-Dienste
  • Remote Procedure Call (RPC)
  • RPC EndPoint Mapper
Voraussetzungen für Windows-Ports
  • TCP-Port 135
  • TCP-Port 445
  • TCP-Port, der dynamisch für RPC zugeordnet wird, von Port 49152 bis 65535
Besondere Merkmale Unterstützt standardmäßig verschlüsselte Ereignisse.
Automatisch erkannt? Nein
Enthält Identität? Ja
Angepasste Eigenschaften einschließen? Ein Security Content Pack mit benutzerdefinierten Windows-Ereigniseigenschaften ist auf IBM® Fix Central verfügbar.
Vorgesehene Anwendung Agentless Event Collection für Windows-Betriebssysteme, die 100 EPS pro Protokollquelle unterstützen können.
Optimierungsunterstützung MSRPC ist auf 100 EPS pro Windows-Host begrenzt. Informationen zu Systemen mit höherer Ereignisrate finden Sie im IBM QRadar WinCollect User Guide.
Weitere Informationen Microsoft-Support (http://support.microsoft.com/)