Question\nComment configurer mes serveurs Windows 2012 RS pour permettre à QRadar de récupérer les données de scan à partir des scanners et événements Microsoft SCCM via WMI?
"},{"id":"text-2","type":"text","heading":"","plain_text":"Répondre\nLes administrateurs peuvent suivre les procédures répertoriées ci-dessous pour configurer DCOM et vérifier que les données Windows Server 2012 R2 peuvent être récupérées à partir d'un système distant à l'aide de WMI. Cet article sert deux objectifs aux administrateurs:","html":"Répondre\nLes administrateurs peuvent suivre les procédures répertoriées ci-dessous pour configurer DCOM et vérifier que les données Windows Server 2012 R2 peuvent être récupérées à partir d'un système distant à l'aide de WMI. Cet article sert deux objectifs aux administrateurs:
"},{"id":"text-3","type":"text","heading":"","plain_text":"Requis pour les scanners Microsoft SCCM.\nQRadar exploite plusieurs requêtes WMI pour effectuer des appels successifs au scanner Microsoft SCCM afin de récupérer les informations sur les actifs. Dans la première demande WMI, le scanner a récupéré les informations sur les actifs (IP, MAC, nom d'hôte). Dans la deuxième passe, le système récupère les données des correctifs installés, puis fait une troisième demande pour récupérer les informations sur les correctifs en attente.","html":"Requis pour les scanners Microsoft SCCM.\nQRadar exploite plusieurs requêtes WMI pour effectuer des appels successifs au scanner Microsoft SCCM afin de récupérer les informations sur les actifs. Dans la première demande WMI, le scanner a récupéré les informations sur les actifs (IP, MAC, nom d'hôte). Dans la deuxième passe, le système récupère les données des correctifs installés, puis fait une troisième demande pour récupérer les informations sur les correctifs en attente.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Obligatoire pour les administrateurs qui collectent des données d'événement à l'aide du protocole WMI (Microsoft Security Event Log Protocol) pour collecter des événements à partir des serveurs Windows 2012 R2.\nIl s'agit d'une option de configuration rare en raison des limitations de WMI et de la limite de 50 événements par seconde. Les administrateurs qui souhaitent collecter des événements à partir de serveurs Windows 2012 R2 doivent utiliser WinCollect ou le protocole MSRPC, selon le taux d'événements généré.","html":"Obligatoire pour les administrateurs qui collectent des données d'événement à l'aide du protocole WMI (Microsoft Security Event Log Protocol) pour collecter des événements à partir des serveurs Windows 2012 R2.\nIl s'agit d'une option de configuration rare en raison des limitations de WMI et de la limite de 50 événements par seconde. Les administrateurs qui souhaitent collecter des événements à partir de serveurs Windows 2012 R2 doivent utiliser WinCollect ou le protocole MSRPC, selon le taux d'événements généré.
"},{"id":"text-5","type":"text","heading":"","plain_text":"Avant que tu commences","html":"Avant que tu commences
"},{"id":"text-6","type":"text","heading":"","plain_text":"La collecte d'événements sur WMI à l'aide de serveurs Windows 2012 R2 n'est prise en charge que sur les systèmes d'exploitation 64 bits. Les systèmes d'exploitation Windows 32 bits n'incluent pas les clés de registre requises pour effectuer les procédures répertoriées ci-dessous. La collecte d'événements WMI n'est pas prise en charge sur les systèmes d'exploitation Windows 2012 R2, 32 bits. \nPrésentation de la configuration","html":"La collecte d'événements sur WMI à l'aide de serveurs Windows 2012 R2 n'est prise en charge que sur les systèmes d'exploitation 64 bits. Les systèmes d'exploitation Windows 32 bits n'incluent pas les clés de registre requises pour effectuer les procédures répertoriées ci-dessous. La collecte d'événements WMI n'est pas prise en charge sur les systèmes d'exploitation Windows 2012 R2, 32 bits. \nPrésentation de la configuration
"},{"id":"text-7","type":"text","heading":"","plain_text":"Pour configurer DCOM sur les serveurs Windows 2012 R2, les administrateurs doivent effectuer les étapes suivantes:","html":"Pour configurer DCOM sur les serveurs Windows 2012 R2, les administrateurs doivent effectuer les étapes suivantes:
"},{"id":"text-8","type":"text","heading":"","plain_text":"Vérifiez que les services requis sont activés et configurés pour démarrer automatiquement au démarrage du système d'exploitation. \nActivez DCOM.\nConfigurez les communications DCOM.\nConfigurez les comptes d'utilisateurs pour DCOM.\nConfigurez le pare-feu Windows.\nConfigurez WMI.\nTestez la configuration WMI.","html":"Vérifiez que les services requis sont activés et configurés pour démarrer automatiquement au démarrage du système d'exploitation. \nActivez DCOM.\nConfigurez les communications DCOM.\nConfigurez les comptes d'utilisateurs pour DCOM.\nConfigurez le pare-feu Windows.\nConfigurez WMI.\nTestez la configuration WMI.
"},{"id":"text-9","type":"text","heading":"","plain_text":"Services DCOM et WMI requis pour Windows Server 2012 R2","html":"Services DCOM et WMI requis pour Windows Server 2012 R2
"},{"id":"text-10","type":"text","heading":"","plain_text":"Les services Windows suivants doivent être démarrés et configurés pour un démarrage automatique:","html":"Les services Windows suivants doivent être démarrés et configurés pour un démarrage automatique:
"},{"id":"text-11","type":"text","heading":"","plain_text":"Serveur\nRegistre distant\nWindows Management Instrumentation","html":"Serveur\nRegistre distant\nWindows Management Instrumentation
"},{"id":"text-12","type":"text","heading":"","plain_text":"La procédure ci-dessous décrit les étapes requises pour configurer les services Serveur, Registre distant et WMI pour le démarrage automatique.","html":"La procédure ci-dessous décrit les étapes requises pour configurer les services Serveur, Registre distant et WMI pour le démarrage automatique.
"},{"id":"text-13","type":"text","heading":"","plain_text":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: services.msc\nCliquez sur D'accord.\nDans le volet d'informations, vérifiez que les services suivants sont démarrés et définis sur le démarrage automatique:une. Serveurb. Registre distantc. Windows Management Instrumentation\nPour modifier une propriété de service, cliquez avec le bouton droit sur le nom du service, puis cliquez sur Propriétés.\nDu Type de démarrage zone de liste, sélectionnez Automatique.\nSi l'état du service n'est pas démarré, cliquez sur Début.\nCliquez sur D'accord.\nFermez la fenêtre Services.\nVous êtes maintenant prêt à activer DCOM sur votre Windows Server 2012 R2.","html":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: services.msc\nCliquez sur D'accord.\nDans le volet d'informations, vérifiez que les services suivants sont démarrés et définis sur le démarrage automatique:une. Serveurb. Registre distantc. Windows Management Instrumentation\nPour modifier une propriété de service, cliquez avec le bouton droit sur le nom du service, puis cliquez sur Propriétés.\nDu Type de démarrage zone de liste, sélectionnez Automatique.\nSi l'état du service n'est pas démarré, cliquez sur Début.\nCliquez sur D'accord.\nFermez la fenêtre Services.\nVous êtes maintenant prêt à activer DCOM sur votre Windows Server 2012 R2.
"},{"id":"text-14","type":"text","heading":"","plain_text":"Activation de DCOM pour Windows Server 2012 R2","html":"Activation de DCOM pour Windows Server 2012 R2
"},{"id":"text-15","type":"text","heading":"","plain_text":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: dcomcnfg\nCliquez sur D'accord. La fenêtre Services de composants s'affiche.\nEn dessous de Services de composants, développer Des ordinateurs, puis cliquez sur Mon ordinateur.\nSur le action menu, cliquez sur Propriétés.\nSélectionnez le Propriétés par défaut languette.\nConfigurez les propriétés par défaut suivantes:\nune. Sélectionnez le Activer COM distribué sur cet ordinateur case à cocher.b. En utilisant le Niveau d'authentification par défaut zone de liste, sélectionnez Relier.c. En utilisant le Niveau d'emprunt d'identité par défaut zone de liste, sélectionnez Identifier.","html":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: dcomcnfg\nCliquez sur D'accord. La fenêtre Services de composants s'affiche.\nEn dessous de Services de composants, développer Des ordinateurs, puis cliquez sur Mon ordinateur.\nSur le action menu, cliquez sur Propriétés.\nSélectionnez le Propriétés par défaut languette.\nConfigurez les propriétés par défaut suivantes:\nune. Sélectionnez le Activer COM distribué sur cet ordinateur case à cocher.b. En utilisant le Niveau d'authentification par défaut zone de liste, sélectionnez Relier.c. En utilisant le Niveau d'emprunt d'identité par défaut zone de liste, sélectionnez Identifier.
"},{"id":"text-16","type":"text","heading":"","plain_text":"Cliquez sur D'accord.Remarque: Le système affiche un message sur la modification des paramètres étendus de la machine DCOM. \nCliquez sur Oui continuer.\nVous êtes maintenant prêt à configurer le protocole DCOM pour Windows Server 2012 R2.","html":"Cliquez sur D'accord.Remarque: Le système affiche un message sur la modification des paramètres étendus de la machine DCOM. \nCliquez sur Oui continuer.\nVous êtes maintenant prêt à configurer le protocole DCOM pour Windows Server 2012 R2.
"},{"id":"text-17","type":"text","heading":"","plain_text":"Configuration des communications DCOM pour Windows Server 2012 R2","html":"Configuration des communications DCOM pour Windows Server 2012 R2
"},{"id":"text-18","type":"text","heading":"","plain_text":"Dans la fenêtre Configuration DCOM (dcomcnfg), développez Services de composants, développer Des ordinateurset sélectionnez Mon ordinateur.\nSur le action menu, cliquez sur Propriétés.\nSélectionnez le Protocoles par défaut languette.\nConfigurez les options suivantes:\nune. Si TCP / IP orienté connexion est répertorié dans la fenêtre Protocoles DCOM, passez à l'étape 5.b. Si TC / IP orienté connexion n'est pas répertorié dans la fenêtre Protocole DCOM, sélectionnez Ajouter. c. Du Séquence de protocole zone de liste, sélectionnez TC / IP orienté connexion.","html":"Dans la fenêtre Configuration DCOM (dcomcnfg), développez Services de composants, développer Des ordinateurset sélectionnez Mon ordinateur.\nSur le action menu, cliquez sur Propriétés.\nSélectionnez le Protocoles par défaut languette.\nConfigurez les options suivantes:\nune. Si TCP / IP orienté connexion est répertorié dans la fenêtre Protocoles DCOM, passez à l'étape 5.b. Si TC / IP orienté connexion n'est pas répertorié dans la fenêtre Protocole DCOM, sélectionnez Ajouter. c. Du Séquence de protocole zone de liste, sélectionnez TC / IP orienté connexion.
"},{"id":"text-19","type":"text","heading":"","plain_text":"Cliquez sur D'accord.\nVous êtes maintenant prêt à configurer un compte d'utilisateur avec l'autorisation d'accéder à DCOM.","html":"Cliquez sur D'accord.\nVous êtes maintenant prêt à configurer un compte d'utilisateur avec l'autorisation d'accéder à DCOM.
"},{"id":"text-20","type":"text","heading":"","plain_text":"Configuration des comptes d'utilisateurs Windows Server 2012 R2 pour DCOM\n \nAprès avoir activé DCOM, vous devez attribuer à un compte l'autorisation appropriée pour accéder à DCOM sur l'hôte. Vous devez sélectionner un compte existant avec un accès administratif ou créer un compte d'utilisateur normal qui est membre d'un groupe administratif pour accéder à l'hôte. L'utilisateur auquel vous accordez des autorisations DCOM est l'utilisateur que vous devez configurer dans la source de journal QRadar.","html":"Configuration des comptes d'utilisateurs Windows Server 2012 R2 pour DCOM\n \nAprès avoir activé DCOM, vous devez attribuer à un compte l'autorisation appropriée pour accéder à DCOM sur l'hôte. Vous devez sélectionner un compte existant avec un accès administratif ou créer un compte d'utilisateur normal qui est membre d'un groupe administratif pour accéder à l'hôte. L'utilisateur auquel vous accordez des autorisations DCOM est l'utilisateur que vous devez configurer dans la source de journal QRadar.
"},{"id":"text-21","type":"text","heading":"","plain_text":"Dans la fenêtre Configuration DCOM (dcomcnfg), développez Services de composants, développer Des ordinateurset sélectionnez Mon ordinateur.\nSur le action menu, cliquez sur Propriétés.\nSélectionnez le Sécurité COM languette.\nDans Autorisations d'accès, Cliquez sur Modifier par défaut.\nSélectionnez l'utilisateur ou le groupe nécessitant un accès DCOM.\nRemarque: Si l'utilisateur ou le groupe nécessitant un accès DCOM n'est pas répertorié dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration.","html":"Dans la fenêtre Configuration DCOM (dcomcnfg), développez Services de composants, développer Des ordinateurset sélectionnez Mon ordinateur.\nSur le action menu, cliquez sur Propriétés.\nSélectionnez le Sécurité COM languette.\nDans Autorisations d'accès, Cliquez sur Modifier par défaut.\nSélectionnez l'utilisateur ou le groupe nécessitant un accès DCOM.\nRemarque: Si l'utilisateur ou le groupe nécessitant un accès DCOM n'est pas répertorié dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration.
"},{"id":"text-22","type":"text","heading":"","plain_text":"Configurez les autorisations utilisateur suivantes:une. Accès local – Sélectionnez le Autoriser case à cocher.b. Accès à distance – Sélectionnez le Autoriser case à cocher.\nCliquez sur D'accord. \nDans Autorisations de lancement et d'activation, Cliquez sur Modifier par défaut.\nSélectionnez l'utilisateur ou le groupe nécessitant un accès DCOM.Remarque: Si l'utilisateur ou le groupe nécessitant un accès DCOM ne figure pas dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration.\nConfigurez les autorisations utilisateur suivantes:une. Lancement local – Sélectionnez le Autoriser case à cocher.b. Lancement à distance – Sélectionnez le Autoriser case à cocher.c. Activation locale – Sélectionnez le Autoriser case à cocher.ré. Activation à distance – Sélectionnez le Autoriser case à cocher.\nCliquez sur D'accord.\nCliquez sur D'accord pour fermer la fenêtre Services de composants.\nVous êtes maintenant prêt à configurer le pare-feu Windows pour autoriser les communications DCOM.","html":"Configurez les autorisations utilisateur suivantes:une. Accès local – Sélectionnez le Autoriser case à cocher.b. Accès à distance – Sélectionnez le Autoriser case à cocher.\nCliquez sur D'accord. \nDans Autorisations de lancement et d'activation, Cliquez sur Modifier par défaut.\nSélectionnez l'utilisateur ou le groupe nécessitant un accès DCOM.Remarque: Si l'utilisateur ou le groupe nécessitant un accès DCOM ne figure pas dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration.\nConfigurez les autorisations utilisateur suivantes:une. Lancement local – Sélectionnez le Autoriser case à cocher.b. Lancement à distance – Sélectionnez le Autoriser case à cocher.c. Activation locale – Sélectionnez le Autoriser case à cocher.ré. Activation à distance – Sélectionnez le Autoriser case à cocher.\nCliquez sur D'accord.\nCliquez sur D'accord pour fermer la fenêtre Services de composants.\nVous êtes maintenant prêt à configurer le pare-feu Windows pour autoriser les communications DCOM.
"},{"id":"text-23","type":"text","heading":"","plain_text":"Configuration du pare-feu Windows Server 2012 R2\n \nSi un pare-feu est situé entre votre Windows Server 2012 R2 et l'appliance QRadar, vous devez configurer le pare-feu avec une exception pour autoriser les communications DCOM.","html":"Configuration du pare-feu Windows Server 2012 R2\n \nSi un pare-feu est situé entre votre Windows Server 2012 R2 et l'appliance QRadar, vous devez configurer le pare-feu avec une exception pour autoriser les communications DCOM.
"},{"id":"text-24","type":"text","heading":"","plain_text":"Remarque: Vous devez être administrateur pour modifier les paramètres du pare-feu Windows ou ajouter une exception au pare-feu Windows.","html":"Remarque: Vous devez être administrateur pour modifier les paramètres du pare-feu Windows ou ajouter une exception au pare-feu Windows.
"},{"id":"text-25","type":"text","heading":"","plain_text":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: wf.msc.\nCliquez sur D'accord.\nSélectionner Règles entrantes.\nSur le action menu, cliquez sur Nouvelle règle.\nSélectionner Douane et cliquez Prochain. La fenêtre Programme s'affiche.\nSélectionner Tous les programmeset cliquez sur Prochain. La fenêtre Protocole et ports s'affiche.\nDu Type de protocole zone de liste, sélectionnez TCP et cliquez Prochain.\nRemarque: Nous vous recommandons de ne pas limiter les ports locaux et distants ou les adresses IP locales, mais de définir des règles de connexion au pare-feu par adresse IP distante. L'adresse IP distante définie doit être l'appliance définie dans l'hôte géré dans la configuration de votre scanner Microsoft SCCM. Pour la collecte d'événements Windows, l'adresse IP doit être le Collecteur d'événements cible dans le journal des événements de sécurité de Microsoft Windows dans QRadar.","html":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: wf.msc.\nCliquez sur D'accord.\nSélectionner Règles entrantes.\nSur le action menu, cliquez sur Nouvelle règle.\nSélectionner Douane et cliquez Prochain. La fenêtre Programme s'affiche.\nSélectionner Tous les programmeset cliquez sur Prochain. La fenêtre Protocole et ports s'affiche.\nDu Type de protocole zone de liste, sélectionnez TCP et cliquez Prochain.\nRemarque: Nous vous recommandons de ne pas limiter les ports locaux et distants ou les adresses IP locales, mais de définir des règles de connexion au pare-feu par adresse IP distante. L'adresse IP distante définie doit être l'appliance définie dans l'hôte géré dans la configuration de votre scanner Microsoft SCCM. Pour la collecte d'événements Windows, l'adresse IP doit être le Collecteur d'événements cible dans le journal des événements de sécurité de Microsoft Windows dans QRadar.
"},{"id":"text-26","type":"text","heading":"","plain_text":"En dessous de Lequel éloigné Adresses IP, cette règle s'applique-t-elle à , sélectionnez le bouton radio Ces adresses IP.\nCliquez sur Ajouter.\ndans le Cette adresse IP ou ce sous-réseau Dans la zone de texte, saisissez l'adresse IP de l'appliance QRadar gérant la source du journal des événements de sécurité Microsoft Windows ou le scanner Microsoft SCCM. \nCliquez sur D'accord.\nCliquez sur Prochain.\nSélectionner Autoriser la connectionet cliquez sur Prochain.\nSélectionnez un ou plusieurs profils réseau auxquels la règle s'applique et cliquez sur Prochain.\nSaisissez un nom et une description pour la règle de pare-feu. \nCliquez sur terminer. Vous pouvez maintenant quitter le panneau Pare-feu Windows avec sécurité avancée.\nVous êtes maintenant prêt à configurer Windows Management Instrumentation (WMI) pour Windows Server 2012 R2.","html":"En dessous de Lequel éloigné Adresses IP, cette règle s'applique-t-elle à , sélectionnez le bouton radio Ces adresses IP.\nCliquez sur Ajouter.\ndans le Cette adresse IP ou ce sous-réseau Dans la zone de texte, saisissez l'adresse IP de l'appliance QRadar gérant la source du journal des événements de sécurité Microsoft Windows ou le scanner Microsoft SCCM. \nCliquez sur D'accord.\nCliquez sur Prochain.\nSélectionner Autoriser la connectionet cliquez sur Prochain.\nSélectionnez un ou plusieurs profils réseau auxquels la règle s'applique et cliquez sur Prochain.\nSaisissez un nom et une description pour la règle de pare-feu. \nCliquez sur terminer. Vous pouvez maintenant quitter le panneau Pare-feu Windows avec sécurité avancée.\nVous êtes maintenant prêt à configurer Windows Management Instrumentation (WMI) pour Windows Server 2012 R2.
"},{"id":"text-27","type":"text","heading":"","plain_text":"Configuration de l'accès utilisateur WMI pour Windows Server 2012 R2\nL'utilisateur ou le groupe que vous avez configuré pour l'accès DCOM doit également disposer de l'autorisation WMI (Windows Management Instrumentation) pour accéder aux journaux d'événements Windows requis par QRadar.","html":"Configuration de l'accès utilisateur WMI pour Windows Server 2012 R2\nL'utilisateur ou le groupe que vous avez configuré pour l'accès DCOM doit également disposer de l'autorisation WMI (Windows Management Instrumentation) pour accéder aux journaux d'événements Windows requis par QRadar.
"},{"id":"text-28","type":"text","heading":"","plain_text":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: wmimgmt.msc\nCliquez sur D'accord. \nFaites un clic droit sur Contrôle WMI (local), sélectionnez Propriétés. La fenêtre Propriétés du contrôle WMI (local) s'affiche.\nClique le Sécurité languette. La navigation dans l'espace de noms s'affiche.\nDans l'arborescence de menus de l'espace de noms, développez Racine, Cliquez sur CIMV2.\nClique le Sécurité sous l'arborescence des menus. La fenêtre Sécurité pour ROOT CIMV2 s'affiche.\nSélectionnez l'utilisateur ou le groupe nécessitant un accès WMI. Remarque: Si l'utilisateur ou le groupe nécessitant un accès WMI n'est pas répertorié dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration.\nCochez les cases pour ajouter les autorisations suivantes:\nune. Exécuter des méthodes – Sélectionnez le Autoriser case à cocher.b. Écriture du fournisseur – Sélectionnez le Autoriser case à cocher.c. Activer le compte – Sélectionnez le Autoriser case à cocher.ré. Activer à distance – Sélectionnez le Autoriser case à cocher.\nRemarque: Si l'utilisateur ou le groupe que vous configurez est un administrateur système, les cases à cocher Autoriser l'autorisation peuvent être cochées lorsque les autorisations sont héritées.","html":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: wmimgmt.msc\nCliquez sur D'accord. \nFaites un clic droit sur Contrôle WMI (local), sélectionnez Propriétés. La fenêtre Propriétés du contrôle WMI (local) s'affiche.\nClique le Sécurité languette. La navigation dans l'espace de noms s'affiche.\nDans l'arborescence de menus de l'espace de noms, développez Racine, Cliquez sur CIMV2.\nClique le Sécurité sous l'arborescence des menus. La fenêtre Sécurité pour ROOT CIMV2 s'affiche.\nSélectionnez l'utilisateur ou le groupe nécessitant un accès WMI. Remarque: Si l'utilisateur ou le groupe nécessitant un accès WMI n'est pas répertorié dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration.\nCochez les cases pour ajouter les autorisations suivantes:\nune. Exécuter des méthodes – Sélectionnez le Autoriser case à cocher.b. Écriture du fournisseur – Sélectionnez le Autoriser case à cocher.c. Activer le compte – Sélectionnez le Autoriser case à cocher.ré. Activer à distance – Sélectionnez le Autoriser case à cocher.\nRemarque: Si l'utilisateur ou le groupe que vous configurez est un administrateur système, les cases à cocher Autoriser l'autorisation peuvent être cochées lorsque les autorisations sont héritées.
"},{"id":"text-29","type":"text","heading":"","plain_text":"Cliquez sur D'accord.\nFermez la fenêtre WMIMGMT – WMI Control (Local).","html":"Cliquez sur D'accord.\nFermez la fenêtre WMIMGMT – WMI Control (Local).
"},{"id":"text-30","type":"text","heading":"","plain_text":"Configuration de l'accès DCOM pour Windows Server 2012 R2\nPar défaut, l'accès à des valeurs de registre spécifiques appartient au programme d'installation approuvé. Cette procédure fournit des instructions sur la façon de définir l'administrateur en tant que propriétaire DCOM, qui peut ensuite fournir des autorisations à votre utilisateur QRadar. L'utilisateur QRadar spécifié dans votre configuration de source de journal doit avoir le contrôle total sur DCOM les deux objets DCOM définis dans cette procédure. Seul un administrateur peut fournir à un autre utilisateur un accès aux deux plans des objets DCOM ci-dessous.\nREMARQUE: Si le WMI interroge d'un parent vers un domaine enfant, l'utilisateur du domaine et le groupe d'administrateurs locaux dans le domaine enfant nécessitent un contrôle total sur les deux clés de registre décrites dans cette procédure. L'utilisateur effectuant la demande WMI peut également être tenu d'être membre du groupe d'administrateurs local.","html":"Configuration de l'accès DCOM pour Windows Server 2012 R2\nPar défaut, l'accès à des valeurs de registre spécifiques appartient au programme d'installation approuvé. Cette procédure fournit des instructions sur la façon de définir l'administrateur en tant que propriétaire DCOM, qui peut ensuite fournir des autorisations à votre utilisateur QRadar. L'utilisateur QRadar spécifié dans votre configuration de source de journal doit avoir le contrôle total sur DCOM les deux objets DCOM définis dans cette procédure. Seul un administrateur peut fournir à un autre utilisateur un accès aux deux plans des objets DCOM ci-dessous.\nREMARQUE: Si le WMI interroge d'un parent vers un domaine enfant, l'utilisateur du domaine et le groupe d'administrateurs locaux dans le domaine enfant nécessitent un contrôle total sur les deux clés de registre décrites dans cette procédure. L'utilisateur effectuant la demande WMI peut également être tenu d'être membre du groupe d'administrateurs local.
"},{"id":"text-31","type":"text","heading":"","plain_text":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R.\nTapez la commande suivante pour ouvrir l'éditeur de registre: regedit\nCliquez sur D'accord. Remarque: Vous devez être un administrateur système pour modifier les paramètres du registre.\nRecherchez l'emplacement de registre suivant:HKEY_CLASSES_ROOT CLSID 76A64158-CB41-11D1-8B02-00600806D9B6\nCliquez avec le bouton droit sur l'entrée 76A64158-CB41-11D1-8B02-00600806D9B6, puis clique Autorisations.\nClique le Avancée bouton. Les paramètres de sécurité avancés s'affichent.\ndans le Propriétaire champ, cliquez sur Changement.\ndans le Entrez le nom de l'objet , définissez le propriétaire sur Administrateurs.\nCliquez sur D'accord. \ndans le Entrées d'autorisations , sélectionnez votre utilisateur et cliquez sur Éditer.Remarque: Si l'utilisateur QRadar n'est pas répertorié dans la liste des autorisations, vous devez cliquer sur Ajouter et définissez votre utilisateur en tant que principal. Pour rechercher un utilisateur, saisissez le nom d'utilisateur, cliquez sur Vérifier les noms, puis clique D'accord pour ajouter votre utilisateur.\nConfigurez les paramètres suivants pour votre utilisateur:","html":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R.\nTapez la commande suivante pour ouvrir l'éditeur de registre: regedit\nCliquez sur D'accord. Remarque: Vous devez être un administrateur système pour modifier les paramètres du registre.\nRecherchez l'emplacement de registre suivant:HKEY_CLASSES_ROOT CLSID 76A64158-CB41-11D1-8B02-00600806D9B6\nCliquez avec le bouton droit sur l'entrée 76A64158-CB41-11D1-8B02-00600806D9B6, puis clique Autorisations.\nClique le Avancée bouton. Les paramètres de sécurité avancés s'affichent.\ndans le Propriétaire champ, cliquez sur Changement.\ndans le Entrez le nom de l'objet , définissez le propriétaire sur Administrateurs.\nCliquez sur D'accord. \ndans le Entrées d'autorisations , sélectionnez votre utilisateur et cliquez sur Éditer.Remarque: Si l'utilisateur QRadar n'est pas répertorié dans la liste des autorisations, vous devez cliquer sur Ajouter et définissez votre utilisateur en tant que principal. Pour rechercher un utilisateur, saisissez le nom d'utilisateur, cliquez sur Vérifier les noms, puis clique D'accord pour ajouter votre utilisateur.\nConfigurez les paramètres suivants pour votre utilisateur:
"},{"id":"text-32","type":"text","heading":"","plain_text":"dans le Type champ, sélectionnez Autoriser.\ndans le S'applique à champ, sélectionnez Cette clé et ses sous-clés.\ndans le Autorisations de base champ, sélectionnez Controle total. Par défaut, la sélection de Contrôle total ajoute Lecture comme type d'autorisation.","html":"dans le Type champ, sélectionnez Autoriser.\ndans le S'applique à champ, sélectionnez Cette clé et ses sous-clés.\ndans le Autorisations de base champ, sélectionnez Controle total. Par défaut, la sélection de Contrôle total ajoute Lecture comme type d'autorisation.
"},{"id":"text-33","type":"text","heading":"","plain_text":"Cliquez sur D'accord pour revenir à la fenêtre Paramètres de sécurité avancés. \ndans le Propriétaire champ, cliquez sur Changement.\ndans le Entrez le nom de l'objet , définissez le propriétaire comme votre utilisateur QRadar.\nCliquez sur D'accord jusqu'à ce que vous reveniez à l'Éditeur du Registre.\nRépétez ce processus pour la clé de registre suivante:HKEY_LOCAL_MACHINE SOFTWARE Classes Wow6432Node CLSID 76A64158-CB41-11D1-8B02-00600806D9B6\nFermez l'Éditeur du Registre.\nPour terminer la configuration DCOM, les administrateurs doivent vérifier les communications WMI en planifiant une analyse Microsoft SCCM dans QRadar ou en utilisant l'outil de test ci-dessous pour rechercher des événements afin de prouver que vos utilisateurs ont les autorisations appropriées pour interroger les données à l'aide de WMI.","html":"Cliquez sur D'accord pour revenir à la fenêtre Paramètres de sécurité avancés. \ndans le Propriétaire champ, cliquez sur Changement.\ndans le Entrez le nom de l'objet , définissez le propriétaire comme votre utilisateur QRadar.\nCliquez sur D'accord jusqu'à ce que vous reveniez à l'Éditeur du Registre.\nRépétez ce processus pour la clé de registre suivante:HKEY_LOCAL_MACHINE SOFTWARE Classes Wow6432Node CLSID 76A64158-CB41-11D1-8B02-00600806D9B6\nFermez l'Éditeur du Registre.\nPour terminer la configuration DCOM, les administrateurs doivent vérifier les communications WMI en planifiant une analyse Microsoft SCCM dans QRadar ou en utilisant l'outil de test ci-dessous pour rechercher des événements afin de prouver que vos utilisateurs ont les autorisations appropriées pour interroger les données à l'aide de WMI.
"},{"id":"text-34","type":"text","heading":"","plain_text":"Vérification et test de votre configuration WMI\nPour vous aider à vérifier vos communications WMI, le protocole RPM du journal des événements Microsoft Windows inclut un outil de test qui permet à QRadar d'interroger le serveur distant pour obtenir les informations du journal des événements Windows. Pour utiliser cet outil de test, votre système QRadar doit être installé avec la dernière version du protocole Windows Event Log.","html":"Vérification et test de votre configuration WMI\nPour vous aider à vérifier vos communications WMI, le protocole RPM du journal des événements Microsoft Windows inclut un outil de test qui permet à QRadar d'interroger le serveur distant pour obtenir les informations du journal des événements Windows. Pour utiliser cet outil de test, votre système QRadar doit être installé avec la dernière version du protocole Windows Event Log.
"},{"id":"text-35","type":"text","heading":"","plain_text":"À l'aide de SSH, connectez-vous à QRadar en tant qu'utilisateur root.Nom d'utilisateur: racineMot de passe: \nTapez la commande suivante: cd / opt / qradar / pots\nTapez la commande suivante: java -jar WMITestTool-.pot\nConfigurez les paramètres suivants:","html":"À l'aide de SSH, connectez-vous à QRadar en tant qu'utilisateur root.Nom d'utilisateur: racineMot de passe: \nTapez la commande suivante: cd / opt / qradar / pots\nTapez la commande suivante: java -jar WMITestTool-.pot\nConfigurez les paramètres suivants:
"},{"id":"text-36","type":"text","heading":"","plain_text":"Hôte Windows distant – Tapez l'adresse IP de votre serveur Windows 2012 R2.\nDomaine Active Directory ou nom d'hôte si dans un groupe de travail – Saisissez le domaine de votre serveur Windows 2012 R2.\nNom d'utilisateur – Tapez le nom d'utilisateur requis pour accéder au serveur Windows 2012 R2 distant.\nMot de passe – Tapez le mot de passe pour le nom d'utilisateur défini ci-dessus.\nVersion NTLM (1 ou 2) – Type 2.\nRemarque: Dans presque tous les cas, les systèmes d'exploitation Windows utilisent NTLM version 2.\nSi vous recevez une erreur, veuillez revenir en arrière et revérifier les paramètres sous Windows spécifiés dans la section DCOM du Guide de l'utilisateur de la source de journal. Si la connexion réussit, vous devriez voir la réponse suivante:\nConnexion à comme DCOM ...Utilisation de WMI brut: fauxTentative de création d'un objet COM implémenté par la classe: WbemLocator sur l'hôte distant[[[[]Utilisation de CLSID =[76a64158-cb41-11d1-8b02-00600806d9b6] PROGID =[] INTERFACEID =[76A6415B-CB41-11D1-8B02-00600806D9B6]Tentative de création du serveur clsid =[76a64158-cb41-11d1-8b02-00600806d9b6] et progid =[]Classe proxy dérivée de ScriptableComObject: rétrécissement à la référence IDispatch.Utilisation de WMI IWmiServices implémenté via: WbemServicesRequête WQL (entrez quitter pour quitter): \nL'outil de test tentera de se connecter à votre serveur Windows distant.","html":"Hôte Windows distant – Tapez l'adresse IP de votre serveur Windows 2012 R2.\nDomaine Active Directory ou nom d'hôte si dans un groupe de travail – Saisissez le domaine de votre serveur Windows 2012 R2.\nNom d'utilisateur – Tapez le nom d'utilisateur requis pour accéder au serveur Windows 2012 R2 distant.\nMot de passe – Tapez le mot de passe pour le nom d'utilisateur défini ci-dessus.\nVersion NTLM (1 ou 2) – Type 2.\nRemarque: Dans presque tous les cas, les systèmes d'exploitation Windows utilisent NTLM version 2.\nSi vous recevez une erreur, veuillez revenir en arrière et revérifier les paramètres sous Windows spécifiés dans la section DCOM du Guide de l'utilisateur de la source de journal. Si la connexion réussit, vous devriez voir la réponse suivante:\nConnexion à comme DCOM ...Utilisation de WMI brut: fauxTentative de création d'un objet COM implémenté par la classe: WbemLocator sur l'hôte distant[[[[]Utilisation de CLSID =[76a64158-cb41-11d1-8b02-00600806d9b6] PROGID =[] INTERFACEID =[76A6415B-CB41-11D1-8B02-00600806D9B6]Tentative de création du serveur clsid =[76a64158-cb41-11d1-8b02-00600806d9b6] et progid =[]Classe proxy dérivée de ScriptableComObject: rétrécissement à la référence IDispatch.Utilisation de WMI IWmiServices implémenté via: WbemServicesRequête WQL (entrez quitter pour quitter): \nL'outil de test tentera de se connecter à votre serveur Windows distant.
"},{"id":"text-37","type":"text","heading":"","plain_text":"dans le Requête WQL , saisissez ce qui suit: Sélectionnez NumberOfRecords dans Win32_NTEventLogFile WHERE LogFileName = 'Security'\nRemarque: L'exemple de requête fournit des fonctions avec les versions 32 bits et 64 bits de Windows.\nSi QRadar peut correctement interroger votre serveur Windows, le nombre d'enregistrements dans le journal des événements de sécurité est renvoyé.\nPar exemple:—–instance de Win32_NTEventlogFileNom = C: Windows System32 Winevt Logs Security.evtxNumberOfRecords = 5786—–","html":"dans le Requête WQL , saisissez ce qui suit: Sélectionnez NumberOfRecords dans Win32_NTEventLogFile WHERE LogFileName = 'Security'\nRemarque: L'exemple de requête fournit des fonctions avec les versions 32 bits et 64 bits de Windows.\nSi QRadar peut correctement interroger votre serveur Windows, le nombre d'enregistrements dans le journal des événements de sécurité est renvoyé.\nPar exemple:—–instance de Win32_NTEventlogFileNom = C: Windows System32 Winevt Logs Security.evtxNumberOfRecords = 5786—–
"},{"id":"text-38","type":"text","heading":"","plain_text":"Si la requête renvoyée indique le nombre total d'enregistrements = 0, ou s'il y a une erreur, vous devez vérifier que les services appropriés sont en cours d'exécution, votre configuration DCOM, la configuration WMI et vos paramètres de pare-feu Windows. Si vous avez vérifié la configuration de votre serveur Windows, contactez le support.\nSi vous rencontrez des problèmes de connexion, nous vous recommandons d'utiliser l'outil de test avec le pare-feu Windows temporairement désactivé. Si l'outil de test renvoie les résultats du journal des événements de sécurité, activez le pare-feu Windows et consultez votre administrateur réseau.\nOù puis-je trouver plus d'informations?","html":"Si la requête renvoyée indique le nombre total d'enregistrements = 0, ou s'il y a une erreur, vous devez vérifier que les services appropriés sont en cours d'exécution, votre configuration DCOM, la configuration WMI et vos paramètres de pare-feu Windows. Si vous avez vérifié la configuration de votre serveur Windows, contactez le support.\nSi vous rencontrez des problèmes de connexion, nous vous recommandons d'utiliser l'outil de test avec le pare-feu Windows temporairement désactivé. Si l'outil de test renvoie les résultats du journal des événements de sécurité, activez le pare-feu Windows et consultez votre administrateur réseau.\nOù puis-je trouver plus d'informations?
"},{"id":"text-39","type":"text","heading":"","plain_text":"Si vous avez des questions supplémentaires ou si certains de ces contenus ne sont pas clairs, vous pouvez consulter le forum QRadar ou contacter le support client pour obtenir de l'aide:","html":"Si vous avez des questions supplémentaires ou si certains de ces contenus ne sont pas clairs, vous pouvez consulter le forum QRadar ou contacter le support client pour obtenir de l'aide:
"},{"id":"text-40","type":"text","heading":"","plain_text":"[« Product »: »code »: »SSBQAC », »label »: »IBM QRadar SIEM », »Business Unit »: »code »: »BU008″, »label »: »Security », »Component »: »Integrations – 3rd Party », »Platform »:[« code »: »PF033″, »label »: »Windows »], "Version": "7.1; 7.0; 7.2", "Edition": ""]","html":"[« Product »: »code »: »SSBQAC », »label »: »IBM QRadar SIEM », »Business Unit »: »code »: »BU008″, »label »: »Security », »Component »: »Integrations – 3rd Party », »Platform »:[« code »: »PF033″, »label »: »Windows »], "Version": "7.1; 7.0; 7.2", "Edition": ""]
"},{"id":"text-41","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Question\nComment configurer mes serveurs Windows 2012 RS pour permettre à QRadar de récupérer les données de scan à partir des scanners et événements Microsoft SCCM via WMI?"},{"id":"text-2","heading":"Text","content":"Répondre\nLes administrateurs peuvent suivre les procédures répertoriées ci-dessous pour configurer DCOM et vérifier que les données Windows Server 2012 R2 peuvent être récupérées à partir d'un système distant à l'aide de WMI. Cet article sert deux objectifs aux administrateurs:"},{"id":"text-3","heading":"Text","content":"Requis pour les scanners Microsoft SCCM.\nQRadar exploite plusieurs requêtes WMI pour effectuer des appels successifs au scanner Microsoft SCCM afin de récupérer les informations sur les actifs. Dans la première demande WMI, le scanner a récupéré les informations sur les actifs (IP, MAC, nom d'hôte). Dans la deuxième passe, le système récupère les données des correctifs installés, puis fait une troisième demande pour récupérer les informations sur les correctifs en attente."},{"id":"text-4","heading":"Text","content":"Obligatoire pour les administrateurs qui collectent des données d'événement à l'aide du protocole WMI (Microsoft Security Event Log Protocol) pour collecter des événements à partir des serveurs Windows 2012 R2.\nIl s'agit d'une option de configuration rare en raison des limitations de WMI et de la limite de 50 événements par seconde. Les administrateurs qui souhaitent collecter des événements à partir de serveurs Windows 2012 R2 doivent utiliser WinCollect ou le protocole MSRPC, selon le taux d'événements généré."},{"id":"text-5","heading":"Text","content":"Avant que tu commences"},{"id":"text-6","heading":"Text","content":"La collecte d'événements sur WMI à l'aide de serveurs Windows 2012 R2 n'est prise en charge que sur les systèmes d'exploitation 64 bits. Les systèmes d'exploitation Windows 32 bits n'incluent pas les clés de registre requises pour effectuer les procédures répertoriées ci-dessous. La collecte d'événements WMI n'est pas prise en charge sur les systèmes d'exploitation Windows 2012 R2, 32 bits. \nPrésentation de la configuration"},{"id":"text-7","heading":"Text","content":"Pour configurer DCOM sur les serveurs Windows 2012 R2, les administrateurs doivent effectuer les étapes suivantes:"},{"id":"text-8","heading":"Text","content":"Vérifiez que les services requis sont activés et configurés pour démarrer automatiquement au démarrage du système d'exploitation. \nActivez DCOM.\nConfigurez les communications DCOM.\nConfigurez les comptes d'utilisateurs pour DCOM.\nConfigurez le pare-feu Windows.\nConfigurez WMI.\nTestez la configuration WMI."},{"id":"text-9","heading":"Text","content":"Services DCOM et WMI requis pour Windows Server 2012 R2"},{"id":"text-10","heading":"Text","content":"Les services Windows suivants doivent être démarrés et configurés pour un démarrage automatique:"},{"id":"text-11","heading":"Text","content":"Serveur\nRegistre distant\nWindows Management Instrumentation"},{"id":"text-12","heading":"Text","content":"La procédure ci-dessous décrit les étapes requises pour configurer les services Serveur, Registre distant et WMI pour le démarrage automatique."},{"id":"text-13","heading":"Text","content":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: services.msc\nCliquez sur D'accord.\nDans le volet d'informations, vérifiez que les services suivants sont démarrés et définis sur le démarrage automatique:une. Serveurb. Registre distantc. Windows Management Instrumentation\nPour modifier une propriété de service, cliquez avec le bouton droit sur le nom du service, puis cliquez sur Propriétés.\nDu Type de démarrage zone de liste, sélectionnez Automatique.\nSi l'état du service n'est pas démarré, cliquez sur Début.\nCliquez sur D'accord.\nFermez la fenêtre Services.\nVous êtes maintenant prêt à activer DCOM sur votre Windows Server 2012 R2."},{"id":"text-14","heading":"Text","content":"Activation de DCOM pour Windows Server 2012 R2"},{"id":"text-15","heading":"Text","content":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: dcomcnfg\nCliquez sur D'accord. La fenêtre Services de composants s'affiche.\nEn dessous de Services de composants, développer Des ordinateurs, puis cliquez sur Mon ordinateur.\nSur le action menu, cliquez sur Propriétés.\nSélectionnez le Propriétés par défaut languette.\nConfigurez les propriétés par défaut suivantes:\nune. Sélectionnez le Activer COM distribué sur cet ordinateur case à cocher.b. En utilisant le Niveau d'authentification par défaut zone de liste, sélectionnez Relier.c. En utilisant le Niveau d'emprunt d'identité par défaut zone de liste, sélectionnez Identifier."},{"id":"text-16","heading":"Text","content":"Cliquez sur D'accord.Remarque: Le système affiche un message sur la modification des paramètres étendus de la machine DCOM. \nCliquez sur Oui continuer.\nVous êtes maintenant prêt à configurer le protocole DCOM pour Windows Server 2012 R2."},{"id":"text-17","heading":"Text","content":"Configuration des communications DCOM pour Windows Server 2012 R2"},{"id":"text-18","heading":"Text","content":"Dans la fenêtre Configuration DCOM (dcomcnfg), développez Services de composants, développer Des ordinateurset sélectionnez Mon ordinateur.\nSur le action menu, cliquez sur Propriétés.\nSélectionnez le Protocoles par défaut languette.\nConfigurez les options suivantes:\nune. Si TCP / IP orienté connexion est répertorié dans la fenêtre Protocoles DCOM, passez à l'étape 5.b. Si TC / IP orienté connexion n'est pas répertorié dans la fenêtre Protocole DCOM, sélectionnez Ajouter. c. Du Séquence de protocole zone de liste, sélectionnez TC / IP orienté connexion."},{"id":"text-19","heading":"Text","content":"Cliquez sur D'accord.\nVous êtes maintenant prêt à configurer un compte d'utilisateur avec l'autorisation d'accéder à DCOM."},{"id":"text-20","heading":"Text","content":"Configuration des comptes d'utilisateurs Windows Server 2012 R2 pour DCOM\n \nAprès avoir activé DCOM, vous devez attribuer à un compte l'autorisation appropriée pour accéder à DCOM sur l'hôte. Vous devez sélectionner un compte existant avec un accès administratif ou créer un compte d'utilisateur normal qui est membre d'un groupe administratif pour accéder à l'hôte. L'utilisateur auquel vous accordez des autorisations DCOM est l'utilisateur que vous devez configurer dans la source de journal QRadar."},{"id":"text-21","heading":"Text","content":"Dans la fenêtre Configuration DCOM (dcomcnfg), développez Services de composants, développer Des ordinateurset sélectionnez Mon ordinateur.\nSur le action menu, cliquez sur Propriétés.\nSélectionnez le Sécurité COM languette.\nDans Autorisations d'accès, Cliquez sur Modifier par défaut.\nSélectionnez l'utilisateur ou le groupe nécessitant un accès DCOM.\nRemarque: Si l'utilisateur ou le groupe nécessitant un accès DCOM n'est pas répertorié dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration."},{"id":"text-22","heading":"Text","content":"Configurez les autorisations utilisateur suivantes:une. Accès local – Sélectionnez le Autoriser case à cocher.b. Accès à distance – Sélectionnez le Autoriser case à cocher.\nCliquez sur D'accord. \nDans Autorisations de lancement et d'activation, Cliquez sur Modifier par défaut.\nSélectionnez l'utilisateur ou le groupe nécessitant un accès DCOM.Remarque: Si l'utilisateur ou le groupe nécessitant un accès DCOM ne figure pas dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration.\nConfigurez les autorisations utilisateur suivantes:une. Lancement local – Sélectionnez le Autoriser case à cocher.b. Lancement à distance – Sélectionnez le Autoriser case à cocher.c. Activation locale – Sélectionnez le Autoriser case à cocher.ré. Activation à distance – Sélectionnez le Autoriser case à cocher.\nCliquez sur D'accord.\nCliquez sur D'accord pour fermer la fenêtre Services de composants.\nVous êtes maintenant prêt à configurer le pare-feu Windows pour autoriser les communications DCOM."},{"id":"text-23","heading":"Text","content":"Configuration du pare-feu Windows Server 2012 R2\n \nSi un pare-feu est situé entre votre Windows Server 2012 R2 et l'appliance QRadar, vous devez configurer le pare-feu avec une exception pour autoriser les communications DCOM."},{"id":"text-24","heading":"Text","content":"Remarque: Vous devez être administrateur pour modifier les paramètres du pare-feu Windows ou ajouter une exception au pare-feu Windows."},{"id":"text-25","heading":"Text","content":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: wf.msc.\nCliquez sur D'accord.\nSélectionner Règles entrantes.\nSur le action menu, cliquez sur Nouvelle règle.\nSélectionner Douane et cliquez Prochain. La fenêtre Programme s'affiche.\nSélectionner Tous les programmeset cliquez sur Prochain. La fenêtre Protocole et ports s'affiche.\nDu Type de protocole zone de liste, sélectionnez TCP et cliquez Prochain.\nRemarque: Nous vous recommandons de ne pas limiter les ports locaux et distants ou les adresses IP locales, mais de définir des règles de connexion au pare-feu par adresse IP distante. L'adresse IP distante définie doit être l'appliance définie dans l'hôte géré dans la configuration de votre scanner Microsoft SCCM. Pour la collecte d'événements Windows, l'adresse IP doit être le Collecteur d'événements cible dans le journal des événements de sécurité de Microsoft Windows dans QRadar."},{"id":"text-26","heading":"Text","content":"En dessous de Lequel éloigné Adresses IP, cette règle s'applique-t-elle à , sélectionnez le bouton radio Ces adresses IP.\nCliquez sur Ajouter.\ndans le Cette adresse IP ou ce sous-réseau Dans la zone de texte, saisissez l'adresse IP de l'appliance QRadar gérant la source du journal des événements de sécurité Microsoft Windows ou le scanner Microsoft SCCM. \nCliquez sur D'accord.\nCliquez sur Prochain.\nSélectionner Autoriser la connectionet cliquez sur Prochain.\nSélectionnez un ou plusieurs profils réseau auxquels la règle s'applique et cliquez sur Prochain.\nSaisissez un nom et une description pour la règle de pare-feu. \nCliquez sur terminer. Vous pouvez maintenant quitter le panneau Pare-feu Windows avec sécurité avancée.\nVous êtes maintenant prêt à configurer Windows Management Instrumentation (WMI) pour Windows Server 2012 R2."},{"id":"text-27","heading":"Text","content":"Configuration de l'accès utilisateur WMI pour Windows Server 2012 R2\nL'utilisateur ou le groupe que vous avez configuré pour l'accès DCOM doit également disposer de l'autorisation WMI (Windows Management Instrumentation) pour accéder aux journaux d'événements Windows requis par QRadar."},{"id":"text-28","heading":"Text","content":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R. \nTapez ce qui suit: wmimgmt.msc\nCliquez sur D'accord. \nFaites un clic droit sur Contrôle WMI (local), sélectionnez Propriétés. La fenêtre Propriétés du contrôle WMI (local) s'affiche.\nClique le Sécurité languette. La navigation dans l'espace de noms s'affiche.\nDans l'arborescence de menus de l'espace de noms, développez Racine, Cliquez sur CIMV2.\nClique le Sécurité sous l'arborescence des menus. La fenêtre Sécurité pour ROOT CIMV2 s'affiche.\nSélectionnez l'utilisateur ou le groupe nécessitant un accès WMI. Remarque: Si l'utilisateur ou le groupe nécessitant un accès WMI n'est pas répertorié dans la liste des autorisations, vous devez ajouter l'utilisateur à la configuration.\nCochez les cases pour ajouter les autorisations suivantes:\nune. Exécuter des méthodes – Sélectionnez le Autoriser case à cocher.b. Écriture du fournisseur – Sélectionnez le Autoriser case à cocher.c. Activer le compte – Sélectionnez le Autoriser case à cocher.ré. Activer à distance – Sélectionnez le Autoriser case à cocher.\nRemarque: Si l'utilisateur ou le groupe que vous configurez est un administrateur système, les cases à cocher Autoriser l'autorisation peuvent être cochées lorsque les autorisations sont héritées."},{"id":"text-29","heading":"Text","content":"Cliquez sur D'accord.\nFermez la fenêtre WMIMGMT – WMI Control (Local)."},{"id":"text-30","heading":"Text","content":"Configuration de l'accès DCOM pour Windows Server 2012 R2\nPar défaut, l'accès à des valeurs de registre spécifiques appartient au programme d'installation approuvé. Cette procédure fournit des instructions sur la façon de définir l'administrateur en tant que propriétaire DCOM, qui peut ensuite fournir des autorisations à votre utilisateur QRadar. L'utilisateur QRadar spécifié dans votre configuration de source de journal doit avoir le contrôle total sur DCOM les deux objets DCOM définis dans cette procédure. Seul un administrateur peut fournir à un autre utilisateur un accès aux deux plans des objets DCOM ci-dessous.\nREMARQUE: Si le WMI interroge d'un parent vers un domaine enfant, l'utilisateur du domaine et le groupe d'administrateurs locaux dans le domaine enfant nécessitent un contrôle total sur les deux clés de registre décrites dans cette procédure. L'utilisateur effectuant la demande WMI peut également être tenu d'être membre du groupe d'administrateurs local."},{"id":"text-31","heading":"Text","content":"Pour ouvrir le menu Exécuter, appuyez sur la touche du logo Windows + R.\nTapez la commande suivante pour ouvrir l'éditeur de registre: regedit\nCliquez sur D'accord. Remarque: Vous devez être un administrateur système pour modifier les paramètres du registre.\nRecherchez l'emplacement de registre suivant:HKEY_CLASSES_ROOT CLSID 76A64158-CB41-11D1-8B02-00600806D9B6\nCliquez avec le bouton droit sur l'entrée 76A64158-CB41-11D1-8B02-00600806D9B6, puis clique Autorisations.\nClique le Avancée bouton. Les paramètres de sécurité avancés s'affichent.\ndans le Propriétaire champ, cliquez sur Changement.\ndans le Entrez le nom de l'objet , définissez le propriétaire sur Administrateurs.\nCliquez sur D'accord. \ndans le Entrées d'autorisations , sélectionnez votre utilisateur et cliquez sur Éditer.Remarque: Si l'utilisateur QRadar n'est pas répertorié dans la liste des autorisations, vous devez cliquer sur Ajouter et définissez votre utilisateur en tant que principal. Pour rechercher un utilisateur, saisissez le nom d'utilisateur, cliquez sur Vérifier les noms, puis clique D'accord pour ajouter votre utilisateur.\nConfigurez les paramètres suivants pour votre utilisateur:"},{"id":"text-32","heading":"Text","content":"dans le Type champ, sélectionnez Autoriser.\ndans le S'applique à champ, sélectionnez Cette clé et ses sous-clés.\ndans le Autorisations de base champ, sélectionnez Controle total. Par défaut, la sélection de Contrôle total ajoute Lecture comme type d'autorisation."},{"id":"text-33","heading":"Text","content":"Cliquez sur D'accord pour revenir à la fenêtre Paramètres de sécurité avancés. \ndans le Propriétaire champ, cliquez sur Changement.\ndans le Entrez le nom de l'objet , définissez le propriétaire comme votre utilisateur QRadar.\nCliquez sur D'accord jusqu'à ce que vous reveniez à l'Éditeur du Registre.\nRépétez ce processus pour la clé de registre suivante:HKEY_LOCAL_MACHINE SOFTWARE Classes Wow6432Node CLSID 76A64158-CB41-11D1-8B02-00600806D9B6\nFermez l'Éditeur du Registre.\nPour terminer la configuration DCOM, les administrateurs doivent vérifier les communications WMI en planifiant une analyse Microsoft SCCM dans QRadar ou en utilisant l'outil de test ci-dessous pour rechercher des événements afin de prouver que vos utilisateurs ont les autorisations appropriées pour interroger les données à l'aide de WMI."},{"id":"text-34","heading":"Text","content":"Vérification et test de votre configuration WMI\nPour vous aider à vérifier vos communications WMI, le protocole RPM du journal des événements Microsoft Windows inclut un outil de test qui permet à QRadar d'interroger le serveur distant pour obtenir les informations du journal des événements Windows. Pour utiliser cet outil de test, votre système QRadar doit être installé avec la dernière version du protocole Windows Event Log."},{"id":"text-35","heading":"Text","content":"À l'aide de SSH, connectez-vous à QRadar en tant qu'utilisateur root.Nom d'utilisateur: racineMot de passe: \nTapez la commande suivante: cd / opt / qradar / pots\nTapez la commande suivante: java -jar WMITestTool-.pot\nConfigurez les paramètres suivants:"},{"id":"text-36","heading":"Text","content":"Hôte Windows distant – Tapez l'adresse IP de votre serveur Windows 2012 R2.\nDomaine Active Directory ou nom d'hôte si dans un groupe de travail – Saisissez le domaine de votre serveur Windows 2012 R2.\nNom d'utilisateur – Tapez le nom d'utilisateur requis pour accéder au serveur Windows 2012 R2 distant.\nMot de passe – Tapez le mot de passe pour le nom d'utilisateur défini ci-dessus.\nVersion NTLM (1 ou 2) – Type 2.\nRemarque: Dans presque tous les cas, les systèmes d'exploitation Windows utilisent NTLM version 2.\nSi vous recevez une erreur, veuillez revenir en arrière et revérifier les paramètres sous Windows spécifiés dans la section DCOM du Guide de l'utilisateur de la source de journal. Si la connexion réussit, vous devriez voir la réponse suivante:\nConnexion à comme DCOM ...Utilisation de WMI brut: fauxTentative de création d'un objet COM implémenté par la classe: WbemLocator sur l'hôte distant[[[[]Utilisation de CLSID =[76a64158-cb41-11d1-8b02-00600806d9b6] PROGID =[] INTERFACEID =[76A6415B-CB41-11D1-8B02-00600806D9B6]Tentative de création du serveur clsid =[76a64158-cb41-11d1-8b02-00600806d9b6] et progid =[]Classe proxy dérivée de ScriptableComObject: rétrécissement à la référence IDispatch.Utilisation de WMI IWmiServices implémenté via: WbemServicesRequête WQL (entrez quitter pour quitter): \nL'outil de test tentera de se connecter à votre serveur Windows distant."},{"id":"text-37","heading":"Text","content":"dans le Requête WQL , saisissez ce qui suit: Sélectionnez NumberOfRecords dans Win32_NTEventLogFile WHERE LogFileName = 'Security'\nRemarque: L'exemple de requête fournit des fonctions avec les versions 32 bits et 64 bits de Windows.\nSi QRadar peut correctement interroger votre serveur Windows, le nombre d'enregistrements dans le journal des événements de sécurité est renvoyé.\nPar exemple:—–instance de Win32_NTEventlogFileNom = C: Windows System32 Winevt Logs Security.evtxNumberOfRecords = 5786—–"},{"id":"text-38","heading":"Text","content":"Si la requête renvoyée indique le nombre total d'enregistrements = 0, ou s'il y a une erreur, vous devez vérifier que les services appropriés sont en cours d'exécution, votre configuration DCOM, la configuration WMI et vos paramètres de pare-feu Windows. Si vous avez vérifié la configuration de votre serveur Windows, contactez le support.\nSi vous rencontrez des problèmes de connexion, nous vous recommandons d'utiliser l'outil de test avec le pare-feu Windows temporairement désactivé. Si l'outil de test renvoie les résultats du journal des événements de sécurité, activez le pare-feu Windows et consultez votre administrateur réseau.\nOù puis-je trouver plus d'informations?"},{"id":"text-39","heading":"Text","content":"Si vous avez des questions supplémentaires ou si certains de ces contenus ne sont pas clairs, vous pouvez consulter le forum QRadar ou contacter le support client pour obtenir de l'aide:"},{"id":"text-40","heading":"Text","content":"[« Product »: »code »: »SSBQAC », »label »: »IBM QRadar SIEM », »Business Unit »: »code »: »BU008″, »label »: »Security », »Component »: »Integrations – 3rd Party », »Platform »:[« code »: »PF033″, »label »: »Windows »], "Version": "7.1; 7.0; 7.2", "Edition": ""]"},{"id":"text-41","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":""},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2020/03/05/configuration-de-dcom-et-wmi-dans-windows-2012-r2-server-pour-microsoft-sccm-scanner-et-event-collection-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/03/05/configuration-de-dcom-et-wmi-dans-windows-2012-r2-server-pour-microsoft-sccm-scanner-et-event-collection-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/03/05/configuration-de-dcom-et-wmi-dans-windows-2012-r2-server-pour-microsoft-sccm-scanner-et-event-collection-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}