LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@tak_morita39

QRadar WinCollectの設定

Last updated at Posted at 2024-04-02

環境

WinCollect10.1.7-11
Microsoft Windows 10 Enterprise 10.0.19045 N/A ビルド 19045

目的

QRadarにWindowsログを送る方法(WinCollectを利用した手順)を記載します。

WebUIのメニュー

WebUIの左側三本線をクリックし表示されるメニューが以下の通り。必要な項目に値を入力していきます。
ファイル名

Agent Settings(WinCollect自身の死活監視)

1. 左のメニューから[Agent Settings]をクリックする
ファイル名

2. [Enabled]にチェックを入れる
3. [Device address]に WinCollectアプリケーションのハートビートパケットの送り先IPアドレス(QRadarやDLC等)を入力する
4. Protocol: UDP、TCP、TLS、mTLSから選べる
5. [Test Connection]を実行して以下のスクリーンショットのようにSuccessと表示されることを確認する
6. [Save]ボタンを押す
image.png

Destination(ログ転送先設定)

1. 左のメニューから[Destinations]をクリックする
ファイル名

2. デフォルトで[QRadar]という項目が既にあるのでクリックする
image.png
3. [Enable]に☑をいれる。
image.png
4. [Name]: 自分で識別できる名前に変更可
5. [Device address]にログ転送先QRadarやDLC等のIPアドレスを入れる。
6. [Save]ボタンをクリックする
image.png

WinCollectをインストールした自身のホストからのログ収集を行う場合

1. 左のメニューから[Local Sources]をクリックする
ファイル名

2. 既存で[Local]という項目が既にあるのでクリックする
image.png
3. [Enable]に☑を入れ[Sources]と[Targets]を編集する
image.png
4. [Sources]をクリックする
5. Name:自分で識別できる名前
6. Type: [Microsoft Windows Events]
7. [Channel]: [Security] (複数のタイプを指定する場合には、手順を繰り返す)
8. [Save]ボタンをクリックする
image.png
9. [Targets]の[QRadar]をクリックする。
10. [Target]の[Enabled]に☑を入れてSaveボタンを押す
image.png
11. [Save]ボタンをクリックする
image.png
12. [Save]ボタンをクリックする
image.png
13. 右上のベルアイコンをクリックする
image.png
14. Pending Changesのwindowsが開かれるので[Apply Changes]をクリックする
image.png

WinCollectから他のWindowsホストにログを取りに行く場合

Credentials

  1. メニューから[Credentials]をクリックする
ファイル名

2. Credential(他のWindowsホストにログインするための情報を登録する。以下の赤枠を記入して[Save]をクリックする
image.png

3. [Save]をクリックする
image.png

Remote Sources

1. メニューから[Remote Sources]をクリックする
ファイル名

2. Remote Soucesの画面で[Add]をクリックする
image.png
3. Nameを入力する。そしてSourcesのAddをクリックする
image.png
4. Nameを入力する。そしてTypeでpull downから[Microsoft Windows Events]を選ぶ
image.png
5. [Channel]において、[Security]を選ぶ
image.png
6. [Save]をクリックする
(Filterは、イベントID単位で不要なイベントを取り込まないように設定が可能)
image.png
7. 前項では、[Security]ログを設定したので、同じように[Application],[System]と繰り返して登録する
image.png

8. 続いて[Source Device]に対して[Add]ボタンをクリックし以下の赤枠部分に情報を入力する

  • [Device address]は通信してログを取得したいWindowsホストのIPを入力する
  • [Credentials]は、前項で作成したものをプルダウンから選択する
    image.png
    9. [Test Connection]をクリックして以下のように"SUCCESS"と表示がされることを確認し[Save]ボタンをクリックする
    image.png
    10. 続いて[Target]に対して[Add]ボタンをクリックし以下の赤枠部分に情報を入力する
  • Nameはログ送信するわかり易い名前
  • Destinationは前項で設定したものをプルダウンから選択する
    [Save]ボタンをクリックする
    image.png
    11. 以下のようになったら一番下の[Save]をクリックする
    image.png
    12. 右上のベルアイコンをクリックする
    image.png
    13. Pending Changesのwindowsが開かれるので[Apply Changes]をクリックする
    image.png
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?