威德 WinCollect辅助部署

WinCollect是一个Syslog事件转发器，管理员可以用来将事件从Windows日志转发到QRadar。

在独立或托管部署方案中，WinCollect均可提供一种高效便捷的方式将日志数据提供给SIEM解决方案，不仅限于本机Windows审核日志，而且还包括大多数主要Windows服务，例如IIS，DHCP，DNS和其他。

许多安全设计师确实意识到，将第三方代理集成到公司网络中并非易事。

即使通过了对性能，代码可持续性和可支持性影响不大的所有公司标准，仍然必须在基础架构中部署和配置代理。此任务需要与操作系统管理员进行永久性协调，用于部署的自动化工具，监视工具集成，每个目标系统上特定日志源配置的手动交互，故障排除和升级策略的实现等等。

只需想到一个工具，即可从QRadar用户界面直接完成所有这些任务。

那正是 QRadar WinCollect辅助部署（QWAD） 是为了。 安装后，您可以使用此应用程序轻松涵盖以下方案：

• 利用不同的部署，身份验证和主机配置文件在基础架构*上部署WinCollect代理，以实现最大的灵活性；
• 自动配置WinCollect **支持的所有日志源类型，并配置自定义日志轮询；
• 使用X-Path过滤掉不必要的事件；
• 与WinCollect一起部署和配置Sysmon；
• 监视代理状态，下载远程代理日志以进行故障排除；
• 执行远程升级，无需重新安装即可重新配置代理（检测新的Windows服务）；
• 避免将手动日志源添加到QRadar中，所有自动配置的日志源将被自动检测并自动出现在QRadar中；
• 与操作系统基础结构分开计划和组织与安全相关的基础结构；

威德 可以在许可模式下不受限制地使用。

非许可模式仅限于三（3）个目标Windows主机。

*支持的操作系统：

• Microsoft Windows 7
• Microsoft Windows 10
• Microsoft Windows 2003服务器
• Microsoft Windows 2008服务器
• Microsoft Windows 2008R2服务器
• Microsoft Windows 2012服务器
• Microsoft Windows 2012R2服务器
• Microsoft Windows 2016服务器
• Microsoft Windows 2019服务器

**自动配置的日志源类型：

• Microsoft Windows安全日志
• Microsoft Windows应用程序日志
• Microsoft Windows系统日志
• Microsoft目录服务日志
• Microsoft文件复制服务日志
• Microsoft转发的事件日志
• Microsoft SQL日志
• Microsoft IIS日志
• Microsoft DHCP日志
• Microsoft Exchange：Outlook Web Access事件（OWA）
• Microsoft Exchange：简单邮件传输协议事件（SMTP）
• Microsoft Exchange：邮件跟踪协议事件（MSGTRK）
• Microsoft DNS调试日志
• XPath查询和Sysmon日志
• 自定义纯文本日志
• 自定义IIS格式的日志