Creación de una vista de base de datos

Microsoft EndPoint Protection utiliza SQL Server Management Studio (SSMS) para gestionar las bases de datos EndPoint Protection SQL.

1. Inicie sesión en el sistema que aloja la base de datos SQL de Microsoft EndPoint Protection.
2. En el menú Inicio , seleccione Ejecutar.
3. Especifique el mandato siguiente:

   ssms

4. Pulse Aceptar.
5. Inicie sesión en la base de datos de Microsoft Endpoint Protection.
6. En el Explorador de objetos, seleccione Bases de datos.
7. Seleccione la base de datos y pulse Vistas.
8. En el menú de navegación, pulse Nueva consulta.
9. En el panel Consulta , escriba la siguiente sentencia Transact-SQL para crear la vista de base de datos:

   create view dbo.MalwareView as select n.Type , n.RowID , n.Name , n.Description , n.Timestamp , n.SchemaVersion , n.ObserverHost , n.ObserverUser , n.ObserverProductName , n.ObserverProductversion , n.ObserverProtectionType , n.ObserverProtectionVersion , n.ObserverProtectionSignatureVersion , n.ObserverDetection , n.ObserverDetectionTime , n.ActorHost , n.ActorUser , n.ActorProcess , n.ActorResource , n.ActionType , n.TargetHost , n.TargetUser , n.TargetProcess , n.TargetResource , n.ClassificationID , n.ClassificationType , n.ClassificationSeverity , n.ClassificationCategory , n.RemediationType , n.RemediationResult , n.RemediationErrorCode , n.RemediationPendingAction , n.IsActiveMalware , i.IP_Addresses0 as 'SrcAddress' 

   from v_AM_NormalizedDetectionHistory n, System_IP_Address_ARR i, v_RA_System_ResourceNames s, Network_DATA d where n.ObserverHost = s.Resource_Names0 and s.ResourceID = d.MachineID and d.IPEnabled00 = 1 and d.MachineID = i.ItemKey and i.IP_Addresses0 like '%.%.%.%';

10. En el panel Consulta , pulse con el botón derecho del ratón y seleccione Ejecutar.

    Si se crea la vista, se muestra el siguiente mensaje en el panel de resultados:

    Command(s) completed successfully.

Qué hacer a continuación

Ahora está preparado para configurar un origen de registro en IBM QRadar.