定義済みデータベース・クエリ用の Microsoft エンドポイント・プロテクション JDBC ログ・ソース・パラメーター
定義済み照会は、データベースが JDBC プロトコルによりポーリングされるときに個別のテーブルのデータを結合できるカスタマイズされたステートメントです。 Microsoft Endpoint Protection データベースから監査データを適切にポーリングするには、新しいユーザーを作成するか、既存のユーザー資格情報をログ・ソースに指定する必要があります。 ユーザー・アカウントの作成について詳しくは、 Microsoft Web サイト (https://www.microsoft.com) を参照してください。
JDBC プロトコルを使用する場合は、特定のパラメーターを使用する必要があります。
パラメーター |
説明 |
|---|---|
| ログ・ソース名 | ログ・ソースの固有名を入力します。 |
| ログ・ソースの説明 (オプション) | ログ・ソースの説明を入力します。 |
| ログ・ソース・タイプ | Microsoft Endpoint Protection |
| プロトコル構成 | JDBC |
| ログ・ソース ID | ログ・ソースの名前を入力します。 名前にスペースを含めることはできません。また、JDBC プロトコルを使用するように構成されているログ・ソース・タイプのすべてのログ・ソースで固有である必要があります。 ログ・ソースが静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集する場合は、「ログ・ソース ID」値のすべて、または一部として、アプライアンスの IP アドレスまたはホスト名を使用します (例: 192.168.1.1 や JDBC192.168.1.1)。 静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからログ・ソースがイベントを収集しない場合は、「ログ・ソース ID」値に任意の固有名を使用できます (例: JDBC1、JDBC2)。 |
| データベース・タイプ | MSDE |
| Database Name | 接続先となるデータベースの名前。 |
| IP またはホスト名 | Microsoft Endpoint Protection SQL Serverの IP アドレスまたはホスト名を入力します。 |
| ポート | データベース・サーバーが使用するポート番号を入力します。 MSDE のデフォルト・ポートは 1433 です。 JDBC 構成ポートは、Microsoft Endpoint Protection データベースのリスナー・ポートと一致している必要があります。 Microsoft Endpoint Protection データベースでは、 QRadarと通信できるように着信 TCP 接続が有効になっている必要があります。 データベース・タイプとして「MSDE」を使用するときに「データベース・インスタンス」を定義する場合は、構成の「ポート」フィールドをブランクのままにしておく必要があります。 |
| Username | ログ・ソースが Microsoft Endpoint Protection データベースへのアクセスに使用できるユーザー名を入力します。 |
| パスワード | Microsoft Endpoint Protection データベースにアクセスするためにログ・ソースが使用できるパスワードを入力します。 パスワードの最大長は 255 文字です。 |
| パスワードの確認 | データベースへのアクセスに使用するパスワードを確認します。 確認パスワードは、「パスワード」フィールドに入力したパスワードと同一である必要があります。 |
| 認証ドメイン | 「Microsoft JDBC の使用 (Use Microsoft JDBC)」 を選択しなかった場合、「認証ドメイン」が表示されます。 「データベース・タイプ」 として 「MSDE」 を選択し、データベースが Windows 認証用に構成されている場合は、 「認証ドメイン」 フィールドにデータを設定する必要があります。 それ以外の場合は、このフィールドをブランクのままにします。 |
| データベース・インスタンス | データベース・サーバーに複数の SQL サーバー・インスタンスがある場合に、データベース・インスタンスを入力します。 データベース構成で標準外ポートを使用する場合、または SQL データベース解決用のポート 1434 へのアクセスをブロックする場合は、構成内の「データベース・インスタンス」パラメーターをブランクのままにしておく必要があります。 |
| 定義済み照会 | リストで「Microsoft Endpoint Protection」を選択します。 |
| テーブル名 | イベント・レコードを含む表またはビューの名前。 表名に使用できる特殊文字は、ドル記号 ($)、番号記号 (#)、下線 (_)、エヌ・ダッシュ (-)、ピリオド (.) です。 |
| 選択リスト | 表をポーリングしてイベントを照会するときに含めるフィールドのリスト。 コンマ区切りのリストを使用できるほか、アスタリスク (*) を入力して、表またはビューにあるすべてのフィールドを選択することができます。 コンマ区切りのリストを定義する場合は、「比較フィールド」で定義したフィールドをリストに含める必要があります。 |
| 比較フィールド | 照会から次の照会までの間に表に追加された新しいイベントを識別する表またはビューにある、数値またはタイム・スタンプのフィールド。 重複するイベントが作成されないように、このプロトコルが以前にポーリングしたイベントを識別できるようにします。 |
| 準備済みステートメントの使用 (Use Prepared Statements) | 「準備済みステートメントの使用 (Use Prepared Statements)」チェック・ボックスを選択します。 準備済みステートメントを使用すると、JDBC プロトコル・ソースで一度 SQL ステートメントをセットアップすれば、その SQL ステートメントを別のパラメーターで何度でも実行できるようになります。 セキュリティーおよびパフォーマンス上の理由から、準備済みステートメントを使用することをお勧めします。 このチェック・ボックスをクリアする場合は、プリコンパイル・ステートメントを使用しない代替照会メソッドを使用する必要があります。 |
| 開始日時 (オプション) | データベース・ポーリングの開始日時を入力します。 「開始日時」パラメーターは、yyyy-MM-dd HH: mm 形式で入力する必要があります (HH は 24 時間形式で指定します)。 開始日または開始時間をクリアした場合は、すぐにポーリングが開始され、指定のポーリング間隔で繰り返されます。 |
| ポーリング間隔 (Polling Interval) | ポーリング間隔 (作成したビューに対する照会から次の照会までの間の時間) を入力します。 デフォルトのポーリング間隔は 10 秒です。 より長いポーリング間隔を定義するには、H (時間) または M (分) を数値に付加します。 最大ポーリング間隔はどの時刻形式の場合も 1 週間です。 H も M も付加せずに数値を入力した場合は、秒単位のポーリングになります。 |
| EPS スロットル | QRadar が取り込む 1 秒当たりのイベントの最大数。 データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。 有効な範囲は 100 から 20,000 です。 |
| 名前付きパイプ通信の使用 (Use Named Pipe Communication) | 「Microsoft JDBC の使用 (Use Microsoft JDBC)」を選択しなかった場合、「名前付きパイプ通信の使用 (Use Named Pipe Communication)」が表示されます。 MSDE データベースでは、データベースのユーザー名とパスワードではなく、Windows 認証のユーザー名とパスワードを使用するために、ユーザー名とパスワードのフィールドが必要です。 ログ・ソースの構成では、MSDE データベースの名前付きパイプであるデフォルトを使用する必要があります。 |
| データベース・クラスター名 (Database Cluster Name) | 「名前付きパイプ通信の使用 (Use Named Pipe Communication)」を選択した場合、「データベース・クラスター名 (Database Cluster Name)」パラメーターが表示されます。 SQL サーバーをクラスター環境で実行している場合は、クラスター名を定義して、名前付きパイプ通信が確実に正しく機能するようにしてください。 |
| NTLMv2 の使用 | 「Microsoft JDBC の使用 (Use Microsoft JDBC)」 を選択しなかった場合、「NTLMv2 の使用」が表示されます。 「NTLMv2 の使用 (Use NTLMv2)」チェック・ボックスを選択します。 このオプションを選択すると、NTLMv2 認証を必要とする SQL サーバーとの通信時に、MSDE 接続で NTLMv2 プロトコルが強制的に使用されます。 このチェック・ボックスはデフォルトで選択されます。 「NTLMv2 の使用」チェック・ボックスを選択した場合でも、NTLMv2 認証を必要としない SQL サーバーへの MSDE 接続には影響しません。 |
| Microsoft JDBC | Microsoft JDBC ドライバーを使用する場合、「Microsoft JDBC の使用 (Use Microsoft JDBC)」を有効にする必要があります。 |
| SSL の使用 (Use SSL) | 接続で SSL 通信がサポートされている場合は、「SSL の使用 (Use SSL)」を選択します。 このオプションを選択する場合は、Endpoint Protection データベースに追加の構成が必要であり、管理者が両方のアプライアンスで証明書を構成する必要があります。 |
| Microsoft SQL Server ホスト名 | 「Microsoft JDBC の使用 (Use Microsoft JDBC)」と「SSL の使用 (Use SSL)」を選択した場合、 「Microsoft SQL Server のホスト名 (Microsoft SQL Server Hostname)」パラメーターが表示されます。 Microsoft SQL Server のホスト名を入力する必要があります。 |
JDBC プロトコルのパラメーターとその値の完全なリストについては、 c_logsource_JDBCprotocol.htmlを参照してください。