Configuration de DCOM et WMI dans Windows 2012 R2 Server pour Microsoft SCCM Scanner et Event Collection – Serveur d’impression
Sommaire
Question
Comment configurer mes serveurs Windows 2012 RS pour permettre à QRadar de récupérer les données de scan à partir des scanners et événements Microsoft SCCM via WMI?
Répondre
Les administrateurs peuvent suivre les procédures répertoriées ci-dessous pour configurer DCOM et vérifier que les données Windows Server 2012 R2 peuvent être récupérées à partir d'un système distant à l'aide de WMI. Cet article sert deux objectifs aux administrateurs:
- Requis pour les scanners Microsoft SCCM.
QRadar exploite plusieurs requêtes WMI pour effectuer des appels successifs au scanner Microsoft SCCM afin de récupérer les informations sur les actifs. Dans la première demande WMI, le scanner a récupéré les informations sur les actifs (IP, MAC, nom d'hôte). Dans la deuxième passe, le système récupère les données des correctifs installés, puis fait une troisième demande pour récupérer les informations sur les correctifs en attente.
- Obligatoire pour les administrateurs qui collectent des données d'événement à l'aide du protocole WMI (Microsoft Security Event Log Protocol) pour collecter des événements à partir des serveurs Windows 2012 R2.
Il s'agit d'une option de configuration rare en raison des limitations de WMI et de la limite de 50 événements par seconde. Les administrateurs qui souhaitent collecter des événements à partir de serveurs Windows 2012 R2 doivent utiliser WinCollect ou le protocole MSRPC, selon le taux d'événements généré.
Avant que tu commences
La collecte d'événements sur WMI à l'aide de serveurs Windows 2012 R2 n'est prise en charge que sur les systèmes d'exploitation 64 bits. Les systèmes d'exploitation Windows 32 bits n'incluent pas les clés de registre requises pour effectuer les procédures répertoriées ci-dessous. La collecte d'événements WMI n'est pas prise en charge sur les systèmes d'exploitation Windows 2012 R2, 32 bits.
Présentation de la configuration
Pour configurer DCOM sur les serveurs Windows 2012 R2, les administrateurs doivent effectuer les étapes suivantes:
- Vérifiez que les services requis sont activés et configurés pour démarrer automatiquement au démarrage du système d'exploitation.
- Activez DCOM.
- Configurez les communications DCOM.
- Configurez les comptes d'utilisateurs pour DCOM.
- Configurez le pare-feu Windows.
- Configurez WMI.
- Testez la configuration WMI.
Services DCOM et WMI requis pour Windows Server 2012 R2
Les services Windows suivants doivent être démarrés et configurés pour un démarrage automatique:
- Serveur
- Registre distant
- Windows Management Instrumentation
La procédure ci-dessous décrit les étapes requises pour configurer les services Serveur, Registre distant et WMI pour le démarrage automatique.
- Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R.
- Tapez ce qui suit: services.msc
- Cliquez sur D'accord.
- Dans le volet d'informations, vérifiez que les services suivants sont démarrés et définis sur le démarrage automatique:
une. Serveur
b. Registre distant
c. Windows Management Instrumentation - Pour modifier une propriété de service, cliquez avec le bouton droit sur le nom du service, puis cliquez sur Propriétés.
- Du Type de démarrage zone de liste, sélectionnez Automatique.
- Si l'état du service n'est pas démarré, cliquez sur Début.
- Cliquez sur D'accord.
- Fermez la fenêtre Services.
Vous êtes maintenant prêt à activer DCOM sur votre Windows Server 2012 R2.
Activation de DCOM pour Windows Server 2012 R2
- Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R.
- Tapez ce qui suit: dcomcnfg
- Cliquez sur D'accord.
La fenêtre Services de composants s'affiche. - En dessous de Services de composants, développer Des ordinateurs, puis cliquez sur Mon ordinateur.
- Sur le action menu, cliquez sur Propriétés.
- Sélectionnez le Propriétés par défaut languette.
- Configurez les propriétés par défaut suivantes:
une. Sélectionnez le Activer COM distribué sur cet ordinateur case à cocher.
b. En utilisant le Niveau d'authentification par défaut zone de liste, sélectionnez Relier.
c. En utilisant le Niveau d'emprunt d'identité par défaut zone de liste, sélectionnez Identifier. - Cliquez sur D'accord.
Remarque: Le système affiche un message sur la modification des paramètres étendus de la machine DCOM. - Cliquez sur Oui continuer.
Vous êtes maintenant prêt à configurer le protocole DCOM pour Windows Server 2012 R2.
Configuration des communications DCOM pour Windows Server 2012 R2
- Dans la fenêtre Configuration DCOM (dcomcnfg), développez Services de composants, développer Des ordinateurset sélectionnez Mon ordinateur.
- Sur le action menu, cliquez sur Propriétés.
- Sélectionnez le Protocoles par défaut languette.
- Configurez les options suivantes:
une. Si TCP / IP orienté connexion est répertorié dans la fenêtre Protocoles DCOM, passez à l'étape 5.
b. Si TC / IP orienté connexion n'est pas répertorié dans la fenêtre Protocole DCOM, sélectionnez Ajouter.
c. Du Séquence de protocole zone de liste, sélectionnez TC / IP orienté connexion. - Cliquez sur D'accord.
Vous êtes maintenant prêt à configurer un compte d'utilisateur avec l'autorisation d'accéder à DCOM.
Configuration des comptes d'utilisateurs Windows Server 2012 R2 pour DCOM
Après avoir activé DCOM, vous devez attribuer à un compte l'autorisation appropriée pour accéder à DCOM sur l'hôte. Vous devez sélectionner un compte existant avec un accès administratif ou créer un compte d'utilisateur normal qui est membre d'un groupe administratif pour accéder à l'hôte. L'utilisateur auquel vous accordez des autorisations DCOM est l'utilisateur que vous devez configurer dans la source de journal QRadar.
- Dans la fenêtre Configuration DCOM (dcomcnfg), développez Services de composants, développer Des ordinateurset sélectionnez Mon ordinateur.
- Sur le action menu, cliquez sur Propriétés.
- Sélectionnez le Sécurité COM languette.
- Dans Autorisations d'accès, Cliquez sur Modifier par défaut.
- Sélectionnez l'utilisateur ou le groupe nécessitant un accès DCOM.
Remarque: Si l'utilisateur ou le groupe nécessitant un accès DCOM n'est pas répertorié dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration.
- Configurez les autorisations utilisateur suivantes:
une. Accès local – Sélectionnez le Autoriser case à cocher.
b. Accès à distance – Sélectionnez le Autoriser case à cocher. - Cliquez sur D'accord.
- Dans Autorisations de lancement et d'activation, Cliquez sur Modifier par défaut.
- Sélectionnez l'utilisateur ou le groupe nécessitant un accès DCOM.
Remarque: Si l'utilisateur ou le groupe nécessitant un accès DCOM ne figure pas dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration. - Configurez les autorisations utilisateur suivantes:
une. Lancement local – Sélectionnez le Autoriser case à cocher.
b. Lancement à distance – Sélectionnez le Autoriser case à cocher.
c. Activation locale – Sélectionnez le Autoriser case à cocher.
ré. Activation à distance – Sélectionnez le Autoriser case à cocher. - Cliquez sur D'accord.
- Cliquez sur D'accord pour fermer la fenêtre Services de composants.
Vous êtes maintenant prêt à configurer le pare-feu Windows pour autoriser les communications DCOM.
Configuration du pare-feu Windows Server 2012 R2
Si un pare-feu est situé entre votre Windows Server 2012 R2 et l'appliance QRadar, vous devez configurer le pare-feu avec une exception pour autoriser les communications DCOM.
Remarque: Vous devez être administrateur pour modifier les paramètres du pare-feu Windows ou ajouter une exception au pare-feu Windows.
- Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R.
- Tapez ce qui suit: wf.msc.
- Cliquez sur D'accord.
- Sélectionner Règles entrantes.
- Sur le action menu, cliquez sur Nouvelle règle.
- Sélectionner Douane et cliquez Prochain. La fenêtre Programme s'affiche.
- Sélectionner Tous les programmeset cliquez sur Prochain. La fenêtre Protocole et ports s'affiche.
- Du Type de protocole zone de liste, sélectionnez TCP et cliquez Prochain.
Remarque: Nous vous recommandons de ne pas limiter les ports locaux et distants ou les adresses IP locales, mais de définir des règles de connexion au pare-feu par adresse IP distante. L'adresse IP distante définie doit être l'appliance définie dans l'hôte géré dans la configuration de votre scanner Microsoft SCCM. Pour la collecte d'événements Windows, l'adresse IP doit être le Collecteur d'événements cible dans le journal des événements de sécurité de Microsoft Windows dans QRadar.
- En dessous de Lequel éloigné Adresses IP, cette règle s'applique-t-elle à , sélectionnez le bouton radio Ces adresses IP.
- Cliquez sur Ajouter.
- dans le Cette adresse IP ou ce sous-réseau Dans la zone de texte, saisissez l'adresse IP de l'appliance QRadar gérant la source du journal des événements de sécurité Microsoft Windows ou le scanner Microsoft SCCM.
- Cliquez sur D'accord.
- Cliquez sur Prochain.
- Sélectionner Autoriser la connectionet cliquez sur Prochain.
- Sélectionnez un ou plusieurs profils réseau auxquels la règle s'applique et cliquez sur Prochain.
- Saisissez un nom et une description pour la règle de pare-feu.
- Cliquez sur terminer. Vous pouvez maintenant quitter le panneau Pare-feu Windows avec sécurité avancée.
Vous êtes maintenant prêt à configurer Windows Management Instrumentation (WMI) pour Windows Server 2012 R2.
Configuration de l'accès utilisateur WMI pour Windows Server 2012 R2
L'utilisateur ou le groupe que vous avez configuré pour l'accès DCOM doit également disposer de l'autorisation WMI (Windows Management Instrumentation) pour accéder aux journaux d'événements Windows requis par QRadar.
- Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R.
- Tapez ce qui suit: wmimgmt.msc
- Cliquez sur D'accord.
- Faites un clic droit sur Contrôle WMI (local), sélectionnez Propriétés. La fenêtre Propriétés du contrôle WMI (local) s'affiche.
- Clique le Sécurité languette. La navigation dans l'espace de noms s'affiche.
- Dans l'arborescence de menus de l'espace de noms, développez Racine, Cliquez sur CIMV2.
- Clique le Sécurité sous l'arborescence des menus. La fenêtre Sécurité pour ROOT CIMV2 s'affiche.
- Sélectionnez l'utilisateur ou le groupe nécessitant un accès WMI.
Remarque: Si l'utilisateur ou le groupe nécessitant un accès WMI n'est pas répertorié dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration. - Cochez les cases pour ajouter les autorisations suivantes:
une. Exécuter des méthodes – Sélectionnez le Autoriser case à cocher.
b. Écriture du fournisseur – Sélectionnez le Autoriser case à cocher.
c. Activer le compte – Sélectionnez le Autoriser case à cocher.
ré. Activer à distance – Sélectionnez le Autoriser case à cocher.Remarque: Si l'utilisateur ou le groupe que vous configurez est un administrateur système, les cases à cocher Autoriser l'autorisation peuvent être cochées lorsque les autorisations sont héritées.
- Cliquez sur D'accord.
- Fermez la fenêtre WMIMGMT – WMI Control (Local).
Configuration de l'accès DCOM pour Windows Server 2012 R2
Par défaut, l'accès à des valeurs de registre spécifiques appartient au programme d'installation approuvé. Cette procédure fournit des instructions sur la façon de définir l'administrateur en tant que propriétaire DCOM, qui peut ensuite fournir des autorisations à votre utilisateur QRadar. L'utilisateur QRadar spécifié dans votre configuration de source de journal doit avoir le contrôle total sur DCOM les deux objets DCOM définis dans cette procédure. Seul un administrateur peut fournir à un autre utilisateur un accès aux deux plans des objets DCOM ci-dessous.
REMARQUE: Si le WMI interroge d'un parent vers un domaine enfant, l'utilisateur du domaine et le groupe d'administrateurs locaux dans le domaine enfant nécessitent un contrôle total sur les deux clés de registre décrites dans cette procédure. L'utilisateur effectuant la demande WMI peut également être tenu d'être membre du groupe d'administrateurs local.
- Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R.
- Tapez la commande suivante pour ouvrir l'éditeur de registre: regedit
- Cliquez sur D'accord. Remarque: Vous devez être un administrateur système pour modifier les paramètres du registre.
- Recherchez l'emplacement de registre suivant:HKEY_CLASSES_ROOT CLSID 76A64158-CB41-11D1-8B02-00600806D9B6
- Cliquez avec le bouton droit sur l'entrée 76A64158-CB41-11D1-8B02-00600806D9B6, puis clique Autorisations.
- Clique le Avancée bouton. Les paramètres de sécurité avancés s'affichent.
- dans le Propriétaire champ, cliquez sur Changement.
- dans le Entrez le nom de l'objet , définissez le propriétaire sur Administrateurs.
- Cliquez sur D'accord.
- dans le Entrées d'autorisations , sélectionnez votre utilisateur et cliquez sur Éditer.
Remarque: Si l'utilisateur QRadar n'est pas répertorié dans la liste des autorisations, vous devez cliquer sur Ajouter et définissez votre utilisateur en tant que principal. Pour rechercher un utilisateur, saisissez le nom d'utilisateur, cliquez sur Vérifier les noms, puis clique D'accord pour ajouter votre utilisateur. - Configurez les paramètres suivants pour votre utilisateur:
- dans le Type champ, sélectionnez Autoriser.
- dans le S'applique à champ, sélectionnez Cette clé et ses sous-clés.
- dans le Autorisations de base champ, sélectionnez Controle total. Par défaut, la sélection de Contrôle total ajoute Lecture comme type d'autorisation.
- Cliquez sur D'accord pour revenir à la fenêtre Paramètres de sécurité avancés.
- dans le Propriétaire champ, cliquez sur Changement.
- dans le Entrez le nom de l'objet , définissez le propriétaire comme votre utilisateur QRadar.
- Cliquez sur D'accord jusqu'à ce que vous reveniez à l'Éditeur du Registre.
- Répétez ce processus pour la clé de registre suivante:HKEY_LOCAL_MACHINE SOFTWARE Classes Wow6432Node CLSID 76A64158-CB41-11D1-8B02-00600806D9B6
- Fermez l'Éditeur du Registre.
Pour terminer la configuration DCOM, les administrateurs doivent vérifier les communications WMI en planifiant une analyse Microsoft SCCM dans QRadar ou en utilisant l'outil de test ci-dessous pour rechercher des événements afin de prouver que vos utilisateurs ont les autorisations appropriées pour interroger les données à l'aide de WMI.
Vérification et test de votre configuration WMI
Pour vous aider à vérifier vos communications WMI, le protocole RPM du journal des événements Microsoft Windows inclut un outil de test qui permet à QRadar d'interroger le serveur distant pour obtenir les informations du journal des événements Windows. Pour utiliser cet outil de test, votre système QRadar doit être installé avec la dernière version du protocole Windows Event Log.
- À l'aide de SSH, connectez-vous à QRadar en tant qu'utilisateur root.
Nom d'utilisateur: racine
Mot de passe: - Tapez la commande suivante: cd / opt / qradar / pots
- Tapez la commande suivante: java -jar WMITestTool-
.pot - Configurez les paramètres suivants:
- Hôte Windows distant – Tapez l'adresse IP de votre serveur Windows 2012 R2.
- Domaine Active Directory ou nom d'hôte si dans un groupe de travail – Saisissez le domaine de votre serveur Windows 2012 R2.
- Nom d'utilisateur – Tapez le nom d'utilisateur requis pour accéder au serveur Windows 2012 R2 distant.
- Mot de passe – Tapez le mot de passe pour le nom d'utilisateur défini ci-dessus.
- Version NTLM (1 ou 2) – Type 2.
Remarque: Dans presque tous les cas, les systèmes d'exploitation Windows utilisent NTLM version 2.
Si vous recevez une erreur, veuillez revenir en arrière et revérifier les paramètres sous Windows spécifiés dans la section DCOM du Guide de l'utilisateur de la source de journal. Si la connexion réussit, vous devriez voir la réponse suivante:
Connexion à
comme DCOM ...
Utilisation de WMI brut: faux
Tentative de création d'un objet COM implémenté par la classe: WbemLocator sur l'hôte distant[[[[]
Utilisation de CLSID =[76a64158-cb41-11d1-8b02-00600806d9b6] PROGID =[] INTERFACEID =[76A6415B-CB41-11D1-8B02-00600806D9B6]
Tentative de création du serveur clsid =[76a64158-cb41-11d1-8b02-00600806d9b6] et progid =[]
Classe proxy dérivée de ScriptableComObject: rétrécissement à la référence IDispatch.
Utilisation de WMI IWmiServices implémenté via: WbemServices
Requête WQL (entrez quitter pour quitter):L'outil de test tentera de se connecter à votre serveur Windows distant.
- dans le Requête WQL , saisissez ce qui suit: Sélectionnez NumberOfRecords dans Win32_NTEventLogFile WHERE LogFileName = 'Security'
Remarque: L'exemple de requête fournit des fonctions avec les versions 32 bits et 64 bits de Windows.
Si QRadar peut correctement interroger votre serveur Windows, le nombre d'enregistrements dans le journal des événements de sécurité est renvoyé.
Par exemple:
—–
instance de Win32_NTEventlogFile
Nom = C: Windows System32 Winevt Logs Security.evtx
NumberOfRecords = 5786
—–
Si la requête renvoyée indique le nombre total d'enregistrements = 0, ou s'il y a une erreur, vous devez vérifier que les services appropriés sont en cours d'exécution, votre configuration DCOM, la configuration WMI et vos paramètres de pare-feu Windows. Si vous avez vérifié la configuration de votre serveur Windows, contactez le support.
Si vous rencontrez des problèmes de connexion, nous vous recommandons d'utiliser l'outil de test avec le pare-feu Windows temporairement désactivé. Si l'outil de test renvoie les résultats du journal des événements de sécurité, activez le pare-feu Windows et consultez votre administrateur réseau.
Où puis-je trouver plus d'informations?
Si vous avez des questions supplémentaires ou si certains de ces contenus ne sont pas clairs, vous pouvez consulter le forum QRadar ou contacter le support client pour obtenir de l'aide:
[« Product »: »code »: »SSBQAC », »label »: »IBM QRadar SIEM », »Business Unit »: »code »: »BU008″, »label »: »Security », »Component »: »Integrations – 3rd Party », »Platform »:[« code »: »PF033″, »label »: »Windows »], "Version": "7.1; 7.0; 7.2", "Edition": ""]
Commentaires
Laisser un commentaire