企业云SIEM架构
LogRhythm SMA安装
视窗 2008+的系统监视器代理远程收集安装
防火墙规则
确保以下端口未被任何防火墙阻止
在SysMon服务器和
在SysMon服务器和
目标服务器:
o TCP 135
o UDP 137
o UDP 138
o TCP 139
o TCP 445
在目标服务器上的Windows入站防火墙规则中,
启用以下服务:
启用以下服务:
o 远程事件日志管理(RPC)
服务
启动RPC(远程事件日志管理) 每个服务
单独的Windows服务器
单独的Windows服务器
会员/权限
的
“ LogRhythm系统监视器”服务必须使用域帐户
(不是“本地
“ LogRhythm系统监视器”服务必须使用域帐户
(不是“本地
系统”
帐户-例如logrhythm_srv), 该帐户应属于每个帐户的“本地”事件日志读取器组
远程服务器。他们 可以手动分配它,也可以通过GPO推送它。
帐户-例如logrhythm_srv), 该帐户应属于每个帐户的“本地”事件日志读取器组
远程服务器。他们 可以手动分配它,也可以通过GPO推送它。
分配
系统监视器的服务帐户对以下两个帐户的读取权限
注册表项:
系统监视器的服务帐户对以下两个帐户的读取权限
注册表项:
·
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog \ 安全 \ Microsoft-Windows-Security-Auditing
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog \ 安全 \ Microsoft-Windows-Security-Auditing
·
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ eventlog \ 安全 \ Microsoft-Windows-Security-Auditing
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ eventlog \ 安全 \ Microsoft-Windows-Security-Auditing
注意: 默认情况下,事件日志阅读器组将
已阅读以上密钥的权限。如果该帐户已添加到本地活动
日志读取器组,它应授予对上述两个注册表项的读取权限。问
核实。
已阅读以上密钥的权限。如果该帐户已添加到本地活动
日志读取器组,它应授予对上述两个注册表项的读取权限。问
核实。
LogRhythm 云 Web GUI
仪表板
警报器
搜索次数
报告书
搜索
使用Lucene过滤器搜索日志:
使用Lucene过滤器搜索日志:
使用通配符搜索日志:
