Windows Legacy収集:リモート レジストリ アクセスの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
 

このトピックでは、イベント ソースからデータを収集するためにリモート レジストリ アクセスを有効にする手順について説明します。

手順に手順

Windows Legacy Collectorでは、データ収集の前にイベント ソースの初期確認が実行されます。デフォルトで、Windows Legacy Collectorは、WMI(Windows Management Instrumentation)を使用してこの初期確認を実行します。リモート レジストリ アクセスを有効にした場合、Windows Legacy Collectorはイベント ソースを確認するためにリモート レジストリ クエリーを実行します。

注: RSA enVisionからアップグレードした環境では、リモート レジストリ アクセスを選択することによって、WMI権限を有効にしなくても既存のドメイン ユーザーを使用できるようになります。

手順

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Windows Legacy Log Collectorサービスを選択します。
  3. ツールバーで、[表示]>[構成][イベント ソース]を選択します。
  4. イベント ソース]タブで、ドロップダウン メニューから[Windows Legacy/Windows]を選択します。
  5. エイリアスを構成します。
    1. イベント カテゴリー]パネル ツールバーで、Icon-Add.pngをクリックします。
      ソースの追加]ダイアログが表示されます。
    2. リモート レジストリを使用]チェックボックスがオンになっていることを確認して(デフォルトでオン)、[OK]をクリックします。

結果

リモート レジスト アクセスが有効になります。

You are here
Table of Contents > Windows Legacy収集:リモート レジストリ アクセスの構成

Attachments

    Outcomes