前知識
- QRadarSIEMにwindowsサーバ(AD等)のログを取り込む場合には、WinCollectを利用する。
- WinCollectはアプリケーションでWindowsマシンにインストールを行う
2種類の動作モード
- WinCollectは、2種類ある(Managed,StandAlone)
- Managed:管理される(ソフトウェアの自動アップデートとされる)
- StandAlone: 管理されない(ソフトウェアの自動アップデートされない)
2種類のログ取得方式
- イベントを取得したいWIndowsサーバ(AD等)に直接WinCollectをインストールする方式
- WinCollect専用にホストを割り当てて、そのホストからWindowsサーバ(AD等)に対してポーリングしてログを収集する方式
WinCollectのアプリケーションを対象のWindowsに配置する
コマンドプロンプトをAdministratorとして起動して以下のコマンドを実行する
msiexec.exe /qn /i WinCollect-10.1.7-11.x64.msi QUICK_INSTALL="yes" WC_DEST="QRadarやEvent Processor等のIPアドレス" ADMIN_GROUP="true"
メニューにIBM WinCollect 10 Consoleが表示される
__
左側の3本線のマークをクリックして追加設定に進む
メニューは以下の通り
- Agent Configuration
Agent Settings -- WinCollect自体の設定
Credentials -- リモートサーバからログ取得するときに利用する認証情報を設定する項目
Local Sources -- WinCollectのアプリケーションをインストールしたWindowsマシンのログ取得に係る設定
Remote Sources --リモートサーバの情報(ログ種類、リモートサーバIP、ログ送信先)
Destinations -- WinCollectが収集したログの送信先設定(通常はQRadar、EventCollector,Event Processor)
Log Viewer -- システムログや取り込まれたログがリアルタイムに表示される
Source Wizard -- ウィザード(対話型)でLocalもしくはRemoteのログソースを設定できる
歯車マークをクリック
サポート問い合わせ等に必要なデバック情報を収集するためのメニュー
リモートwindowsからのログ収集接続 (Remote Sources )
必須 (ユーザをadminグループにいれたとしてもこちらは必須)
いらないかもしれないけれどもマニュアルに有効化するようにコメントがある。(サービス開始していなくても動く)
ポートは、135,137-139,445はwindowsにより任意としてデフォルトで許可されている場合がある。49152-65535は必須
参照したドキュメント