Windows ホスト上の MSRPC パラメーター

MSRPC を介した Windows ホストと IBM® QRadar® の間の通信を有効にするには、Microsoft リモート・プロシージャー・コール (MSRPC) プロトコル用に Windows ホストでリモート・プロシージャー・コール (RPC) 設定を構成します。

Windows ホストと QRadar アプライアンスの間の MSRPC を介した通信を有効にするには、管理者グループのメンバーである必要があります。

128 GB の RAM と 40 コア (Intel (R) Xeon (R) CPU E5-2680 v2 @ 2.80 GHz) を搭載した IBM QRadar QRadar Event Processor 1628 アプライアンスでのパフォーマンス・テストに基づいて、8500 イベント/秒 (EPS) が正常に達成され、同時に他の非 Windows システムからのログの受信と処理が行われました。 ログ・ソース制限は 500 です。
仕様
製造元 Microsoft
プロトコル・タイプ

イベントの収集のための、オペレーティング・システム依存のリモート・プロシージャー・プロトコルのタイプ。

「プロトコル・タイプ (Protocol Type)」リストから、次のオプションのいずれかを選択します。

MS-EVEN6
新しいログ・ソースのデフォルトのプロトコル・タイプ。
QRadar が Windows Vista および Windows Server 2008 以降と通信するために使用するプロトコル・タイプ。
MS-EVEN (XP/2003 の場合)
QRadar が Windows XP および Windows Server 2003 と通信するために使用するプロトコル・タイプ。
Windows XP および Windows Server 2003 は Microsoft ではサポートされていません。 このオプションを使用すると正常に動作しない可能性があります。
自動検出 (レガシー構成用)
Microsoft Windows セキュリティー・イベント・ログ DSM の以前のログ・ソース構成では、 「自動検出 (レガシー構成の場合)」 プロトコル・タイプを使用します。
「MS_EVEN6」プロトコル・タイプまたは「MS-EVEN (Windows XP/2003 の場合)」プロトコル・タイプにアップグレードしてください。
サポートされるバージョン

Windows Server 2022 (Core を含む) WinCollect v10.1.2 以上

Windows Server 2019 (Core を含む)

Windows Server 2016 (Core を含む)

Windows Server 2012 (Core を含む)

Windows 11 WinCollect v10.1.2 以上

Windows 10
対象用途 ログ・ソースあたり 100 EPS をサポート可能な Windows オペレーティング・システムに対するエージェントレス・イベント収集。
サポートされるログ・ソースの最大数 管理対象ホスト (16xx または 18xx アプライアンス) ごとに 500 MSRPC プロトコル・ログ・ソース
全体の MSRPC の最大 EPS 速度 管理対象ホストごとに 8500 EPS
特殊機構 デフォルトで暗号化イベントがサポートされます。
必要な権限 ログ・ソース・ユーザーは、「Event Log Readers」グループのメンバーでなければなりません。 このグループがまだ構成されていない場合は、ドメイン間で Windows イベント・ログをポーリングするためにドメイン管理特権が必要になることがほとんどです。 場合によっては、Microsoft グループ・ポリシー・オブジェクトの構成方法に応じて、「Backup Operators」グループも使用できる場合があります。
Windows XP および 2003 オペレーティング・システムのユーザーには、以下のレジストリー・キーに対する読み取り権限が必要です。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion
サポートされるイベント・タイプ アプリケーション

システム

安全

DNS サーバー

ファイル複製

ディレクトリー・サービスのログ
Windows のサービス条件
Windows Server 2008 および Windows Vista の場合は、以下のサービスを使用します。
  • リモート・プロシージャー・コール (RPC)
  • RPC エンドポイント・マッパー

Windows 2003 の場合は、Remote Registry and Server を使用します。
Windows のポート条件 Windows ホストと QRadar アプライアンスの間の外部ファイアウォールが、以下のポートでの着信 TCP 接続と発信 TCP 接続を許可するように構成されていることを確認します。
Windows Server 2008 および Windows Vista の場合は、以下のポートを使用します。
  • TCP ポート 135
  • RPC 用に動的に割り振られる、49152 より大きい TCP ポート
Windows 2003 の場合は、以下のポートを使用します。
  • TCP ポート 445
  • TCP ポート 139
自動的に検出? いいえ
ID を含む? はい
カスタム・プロパティーを含む? Windows カスタム・イベント・プロパティーを含むセキュリティー・コンテンツ・パックは、IBM Fix Central で入手できます。
必要な RPM ファイル PROTOCOL-WindowsEventRPC-QRadar_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
詳細情報 Microsoft サポート (http://support.microsoft.com/)
使用可能なトラブルシューティング・ツール MSRPC テスト・ツールは MSRPC プロトコル RPM の一部です。 MSRPC プロトコル RPM をインストールすると、MSRPC テスト・ツールは /opt/qradar/jars に保管されます。