威德 WinCollect辅助部署

WinCollect是一个Syslog事件转发器,管理员可以用来将事件从Windows日志转发到QRadar。

在独立或托管部署方案中,WinCollect均可提供一种高效便捷的方式将日志数据提供给SIEM解决方案,不仅限于本机Windows审核日志,而且还包括大多数主要Windows服务,例如IIS,DHCP,DNS和其他。

许多安全设计师确实意识到,将第三方代理集成到公司网络中并非易事。

即使通过了对性能,代码可持续性和可支持性影响不大的所有公司标准,仍然必须在基础架构中部署和配置代理。此任务需要与操作系统管理员进行永久性协调,用于部署的自动化工具,监视工具集成,每个目标系统上特定日志源配置的手动交互,故障排除和升级策略的实现等等。

只需想到一个工具,即可从QRadar用户界面直接完成所有这些任务。

那正是 QRadar WinCollect辅助部署(QWAD) 是为了。 安装后,您可以使用此应用程序轻松涵盖以下方案:

  • 利用不同的部署,身份验证和主机配置文件在基础架构*上部署WinCollect代理,以实现最大的灵活性;
  • 自动配置WinCollect **支持的所有日志源类型,并配置自定义日志轮询;
  • 使用X-Path过滤掉不必要的事件;
  • 与WinCollect一起部署和配置Sysmon;
  • 监视代理状态,下载远程代理日志以进行故障排除;
  • 执行远程升级,无需重新安装即可重新配置代理(检测新的Windows服务);
  • 避免将手动日志源添加到QRadar中,所有自动配置的日志源将被自动检测并自动出现在QRadar中;
  • 与操作系统基础结构分开计划和组织与安全相关的基础结构;

威德 可以在许可模式下不受限制地使用。

非许可模式仅限于三(3)个目标Windows主机。

*支持的操作系统:

  • Microsoft Windows 7
  • Microsoft Windows 10
  • Microsoft Windows 2003服务器
  • Microsoft Windows 2008服务器
  • Microsoft Windows 2008R2服务器
  • Microsoft Windows 2012服务器
  • Microsoft Windows 2012R2服务器
  • Microsoft Windows 2016服务器
  • Microsoft Windows 2019服务器

 

**自动配置的日志源类型:

  • Microsoft Windows安全日志
  • Microsoft Windows应用程序日志
  • Microsoft Windows系统日志
  • Microsoft目录服务日志
  • Microsoft文件复制服务日志
  • Microsoft转发的事件日志
  • Microsoft SQL日志
  • Microsoft IIS日志
  • Microsoft DHCP日志
  • Microsoft Exchange:Outlook Web Access事件(OWA)
  • Microsoft Exchange:简单邮件传输协议事件(SMTP)
  • Microsoft Exchange:邮件跟踪协议事件(MSGTRK)
  • Microsoft DNS调试日志
  • XPath查询和Sysmon日志
  • 自定义纯文本日志
  • 自定义IIS格式的日志