Microsoft Security Event Log over MSRPC Protokolü

Microsoft Security Event Log over MSRPC protokolü (MSRPC), Windows olaylarını Windows anasisteminde kurulu olmayan bir etkin giden protokoldür.

MSRPC protokolü, aracısız, şifrelenmiş olay toplamasını sağlamak için Microsoft Distributed Computing Environment/Remote Procedure Call (DCE/RPC) belirtimini kullanır.

Aşağıdaki çizelge, MSRPC protokolünün desteklenen özelliklerini göstermektedir.

Tablo 1. MSRPC protokolünün desteklenen özellikleri
Özellikler	Microsoft Security Event Log over MSRPC iletişim kuralı
Üretici	Microsoft
Bağlantı testi aracı	MSRPC sınama aracı, QRadar® aygıtı ile bir Windows anasistemi arasındaki bağlanırlığı denetler. MSRPC sınama aracı MSRPC protokolü RPM ' nin bir parçasıdır ve protokolü kurduktan sonra /opt/qradar/jars içinde bulunabilir. Daha fazla bilgi için bkz. MSRPC test aracı (http://www.ibm.com/support/docview.wss?uid=swg21959348)
Protokol tipi	Olayları toplamak için kullanılan uzak yordam iletişim kuralı tipi. İletişim kuralı tipi, işletim sisteminize bağlıdır. Protocol Type (İletişim Kuralı Tipi) listesinden aşağıdaki seçeneklerden birini seçin: MS-EVEN6 Yeni günlük kaynakları için varsayılan protokol tipi. Windows Vista ve Windows Server 2012 ve sonraki yayın düzeyleriyle iletişim kurmak için QRadar tarafından kullanılan iletişim kuralı tipi. Önemli: MS-EVEN (Windows XP/2003için) seçeneği artık desteklenmemektedir. Ancak, yine de Protokol Tipi listesinde görünür. otomatik algıla (eski yapılandırmalar için) Microsoft Windows Security Event Log DSM için önceki günlük kaynağı yapılandırmaları, otomatik algıla (eski yapılandırmalar için) iletişim kuralı tipini kullanır. MS_EVEN6 protokol tipini yükseltin.
EPS hızı üst sınırı	100 EPS/Windows anasistemi
MSRPC ' nin genel EPS hızı üst sınırı	8500 EPS/ IBM® QRadar 16xx ya da 18xx aracı
Desteklenen günlük kaynağı sayısı üst sınırı	500 günlük kaynağı/ QRadar 16xx ya da 18xx aracı
Toplu günlük kaynağı desteği	Evet
Şifreleme	Evet
Desteklenen olay tipleri	Uygulama Sistem Güvenlik DNS Sunucusu Dosya Eşleme Dizin Hizmeti günlükleri
Desteklenen Windows İşletim Sistemleri	Windows Server 2022 (çekirdek dahil) WinCollect v10.1.2 ve üstü Windows Server 2019 (çekirdek Dahil) Windows Server 2016 (çekirdek Dahil) Windows Server 2012 (çekirdek Dahil) Windows 10 Windows 11 WinCollect v10.1.2 ve üstü
Gerekli izinler	Günlük kaynağı kullanıcısı, Event Log Readers (Olay Günlüğü Okuyucular) grubunun bir üyesi olmalıdır. Bu grup yapılandırılmamışsa, etki alanı yönetici ayrıcalıkları genellikle bir etki alanında bir Windows olay günlüğünü yoklamak için gereklidir. Bazı durumlarda, Microsoft Grup İlkesi Nesneleri 'nin nasıl yapılandırılabilmesine bağlı olarak, yedekleme işleçleri grubu kullanılabilir. `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog` `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language` `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion`
Gerekli RPM dosyaları	PROTOCOL-WindowsEventRPC-`QRadar_release-Build_number`.noarch.rpm DSM-MicrosoftWindows-`QRadar_release-Build_number`.noarch.rpm DSM-DSMCommon-`QRadar_release-Build_number`.noarch.rpm
Windows hizmeti gereksinmeleri	Uzak Yordam Çağrısı (RPC) RPC Uç Noktası Eşleyici
Windows kapı gereksinimleri	TCP kapısı 135 TCP kapısı 445 RPC için dinamik olarak ayrılan TCP kapısı (kapı 49152 'den 65535 'e kadar)
Özel özellikler	Varsayılan olarak şifrelenmiş olayları destekler.
Otomatik olarak keşfedildi mi	Hayır
Kimlik dahil mi?	Evet
Özel özellikler dahil mi?	Windows özel olay özelliklerine sahip bir güvenlik içerik paketi IBM Fix Central' da bulunur.
Amaçlanan uygulama	Günlük kaynağı başına 100 EPS ' yi destekleyebilen Windows işletim sistemleri için aracısız olay toplaması.
Ayarlama desteği	MSRPC, 100 EPS/Windows anasistemiyle sınırlıdır. Daha yüksek olay hızı sistemleri için bkz. IBM QRadar WinCollect User Guide.
Olay süzme desteği	MSRPC, olay süzme özelliğini desteklemez. Bu özellik için IBM QRadar WinCollect User Guide ' e bakın.
Diğer bilgiler	Microsoft desteği (http://support.microsoft.com/)