WinCollect の概要

WinCollect は、管理者が Windows ログから QRadar®にイベントを転送するために使用できる Syslog イベント・フォワーダーです。 WinCollect は、ローカルでシステムからイベントを収集することも、他の Windows システムにイベントをリモートでポーリングするように構成することもできます。

WinCollect は、Windows イベントを収集するための多くのソリューションの 1 つです。 WinCollectの代替方法について詳しくは、「 IBM® Security QRadar DSM 構成ガイド」を参照してください。

WinCollect はどのように機能しますか?

WinCollect は、Windows イベント・ログ API を使用してイベントを収集し、 WinCollect はそのイベントを QRadarに送信します。

注: 管理対象デプロイメントは、 QRadar on Cloud 環境ではサポートされません。 IBM QRadar on Cloud を使用するお客様は、スタンドアロンの WinCollect エージェントを使用する必要があります。

WinCollect 管理対象デプロイメント

管理対象 WinCollect デプロイメントには、モニター対象の Windows ホストにインストールされている WinCollect エージェントと情報を共有する QRadar アプライアンスがあります。 Windows ホストは、それ自体、ローカル・ホスト、リモート Windows ホストのいずれからも情報を収集できます。 リモート・ホストには、 WinCollect ソフトウェアがインストールされていません。 WinCollect ソフトウェアがインストールされている Windows ホストは、リモート・ホストをポーリングしてから、イベント情報を QRadarに送信します。
注: 管理対象デプロイメントは、 QRadar on Cloud 環境ではサポートされません。 IBM QRadar on Cloud を使用するお客様は、スタンドアロンの WinCollect エージェントを使用する必要があります。
図 1. WinCollect 管理対象デプロイメントの例
WinCollect 管理対象デプロイメントの例
重要:
  1. 管理対象デプロイメントでは、Windows ホストにインストールされている WinCollect エージェントは、任意の QRadar コンソール、イベント・コレクター、またはイベント・プロセッサーで管理できます。
  2. 管理対象 WinCollect デプロイメントは、 QRadar on Cloudではサポートされていません。

管理対象デプロイメントでは、 WinCollect は、コンソールと管理対象ホストごとに最大 500 個の Windows エージェントと連携するように設計されています。 例えば、コンソール、 イベント・プロセッサー、および イベント・コレクターを備えたデプロイメントがある場合、それぞれ最大 500 個の Windows エージェント (合計 1,500 個) をサポートできます。 コンソールまたは管理対象ホストごとに 500 を超える Windows エージェントをモニターする場合は、スタンドアロンの WinCollect デプロイメントを使用します。

詳しくは、 スタンドアロンの WinCollect インストールを参照してください。

管理対象 WinCollect デプロイメントには、以下の機能があります。

  • QRadar コンソールまたは管理対象ホストからの一元管理。
  • インストール時のローカル・ログ・ソースの自動生成。
  • イベントをもらさず収集するためのイベント・ストレージ。
  • Microsoft サブスクリプションから転送されたイベントを収集します。
  • XPath 照会または除外フィルターを使用したイベントのフィルタリング。
  • 仮想マシンのインストールをサポート。
  • ネットワークにエージェントを再インストールすることなく、コンソールからリモート WinCollect エージェントにソフトウェア更新を送信できます。
  • 設定したスケジュールに従ってイベントを転送 (ストア・アンド・フォワード)。

WinCollect スタンドアロン・デプロイメント

500 を超えるエージェントから Windows イベントを収集する必要がある場合は、スタンドアロンの WinCollect デプロイメントを使用してください。 スタンドアロン・デプロイメントは、 WinCollect ソフトウェアがインストールされた非管理モードの Windows ホストです。 Windows ホストは、それ自体、ローカル・ホスト、リモート Windows ホストのいずれからも情報を収集できます。 リモート・ホストには、 WinCollect ソフトウェアがインストールされていません。 WinCollect ソフトウェアがインストールされている Windows ホストは、リモート・ホストをポーリングしてから、イベント情報を QRadarに送信します。 500 を超える Windows エージェントを構成する際に時間を節約するために、 IBM Endpoint Manager などのソリューションを使用できます。 自動化は、スタンドアロン・インスタンスの管理に役立ちます。

図 2. WinCollect スタンドアロン・デプロイメントの例
WinCollect スタンドアロン・デプロイメントの例

スタンドアロンの WinCollect をデプロイして、1 つの Windows ホストにイベント・データを統合することもできます。ここで、 WinCollect は、 QRadarに送信するイベントを収集します。

スタンドアロン WinCollect モードには、以下の機能があります。

  • WinCollect 構成コンソールを使用して、各 WinCollect エージェントを構成できます。
  • ソフトウェア更新インストーラーを使用して、 WinCollect ソフトウェアを更新できます。
  • イベントをもらさず収集するためのイベント・ストレージ。
  • Microsoft サブスクリプションから転送されたイベントを収集します。
  • XPath 照会または除外フィルターを使用したイベントのフィルタリング。
  • 仮想マシンのインストールをサポート。
  • TLS Syslog を使用して QRadar にイベントを送信します。
  • エージェントのインストール時にローカル・ログ・ソースを自動的に作成。

管理対象およびスタンドアロンの WinCollect デプロイメントの機能

以下の表を参照して、管理対象またはスタンドアロンの WinCollect エージェントを使用する際に使用可能な機能を確認してください。

表 1. 管理対象 WinCollect とスタンドアロン WinCollectの機能
機能 管理対象 WinCollect スタンドアロン WinCollect
QRadar コンソールまたは管理対象ホストからの一元管理。 はい いいえ
インストール時のローカル・ログ・ソースの自動生成。 はい はい
イベントをもらさず収集するためのイベント・ストレージ。 はい はい
Microsoft サブスクリプションから転送されたイベントを収集します。 はい はい
XPath 照会または除外フィルターを使用したイベントのフィルタリング。 はい はい
仮想マシンのインストールをサポート。 はい はい
QRadar コンソールは、ソフトウェア更新を WinCollect エージェントに送信できます。 はい いいえ
設定したスケジュールに従ってイベントを転送 (ストア・アンド・フォワード)。 はい いいえ
WinCollect 構成コンソールを使用して、各 WinCollect エージェントを構成できます。 いいえ はい
ソフトウェア更新インストーラーを使用して、 WinCollect ソフトウェアを更新できます。 いいえ はい
QRadar on Cloud で使用可能 いいえ はい
オンプレミスの QRadar で使用可能 はい はい

管理対象 WinCollect デプロイメントのセットアップ

管理対象デプロイメントの場合は、以下の手順を実行します。

  1. 管理対象 WinCollectの前提条件、使用するポート、必要なハードウェア、アップグレード方法について説明します。 詳しくは、 WinCollectのインストールの前提条件を参照してください。
  2. WinCollect アプリケーションを QRadar コンソールにインストールします。 詳しくは、 QRadar アプライアンスでの WinCollect アプリケーションのインストールおよびアップグレードを参照してください。
  3. 管理対象 WinCollect エージェントが QRadar アプライアンスとデータを交換できるように、認証トークンを作成します。 詳しくは、 WinCollect エージェント用の認証トークンの作成を参照してください。
  4. ログ・ソース・データの転送宛先ホストを構成します。 詳しくは、「 宛先の追加」を参照してください。
  5. 管理対象 WinCollect エージェントを Windows ホストにインストールします。 詳しくは、以下のオプションのいずれかを参照してください。
  6. 転送されるイベントまたはイベント・サブスクリプションを構成する場合は、 WinCollect エージェントの Windows イベント・サブスクリプションを参照してください。
  7. レガシー・ログ・ソース UI を使用して、単一の WinCollect エージェントによってリモートでポーリングされるログ・ソースを一括追加する場合は、 リモート・イベント収集のためのログ・ソースの一括追加を参照してください。
  8. WinCollect ログ・ソースを調整します。 詳しくは、 Windows ログ・ソース・パラメーターのイベント・レート・チューニング・プロファイル・パラメーターを参照してください。
  9. 管理対象 WinCollect エージェントが失敗した場合に、複数の QRadar 宛先にイベントを送信するようにするには、 WinCollect エージェントへの複数の宛先の追加を参照してください。

スタンドアロン WinCollect デプロイメントのセットアップ

スタンドアロン・デプロイメントの場合は、以下を実行します。

  1. スタンドアロン WinCollectの前提条件、使用するポート、必要なハードウェア、アップグレード方法について説明します。 詳しくは、 WinCollectのインストールの前提条件を参照してください。
  2. スタンドアロンの WinCollect エージェントを Windows ホストにインストールします。 詳しくは、 Windows ホストへの WinCollect エージェントのインストールを参照してください。
  3. エージェントに新規ログ・ソースを追加する場合、または既存のログ・ソースを変更する場合は、 WinCollect スタンドアロン構成コンソールをインストールします。 詳しくは、 構成コンソールのインストール または WinCollect ソフトウェアのサイレント・インストール、アップグレード、およびアンインストールを参照してください。
  4. Windows ホストが Windows イベントを送信する宛先を構成します。 詳しくは、 WinCollect 構成コンソールへの宛先の追加を参照してください。
  5. スタンドアロンの WinCollect エージェントを使用して、リモート・ポーリングを使用して他のデバイスからイベントを収集する場合は、 WinCollect スタンドアロン構成コンソールで資格情報を作成して、 WinCollect がリモート・デバイスにログインできるようにします。 詳しくは、 WinCollect 資格情報の作成を参照してください。
  6. スタンドアロンの WinCollect エージェントにさらにログ・ソースを追加する場合は、 WinCollect スタンドアロン構成コンソールを使用して行います。 詳しくは、 WinCollect 構成コンソールへのデバイスの追加を参照してください。