Microsoft SharePoint は、 SQL Server Management Studio (SSMS) を使用して SharePoint SQL データベースを管理します。 監査イベント・データを収集するには、 IBM
QRadarからアクセス可能な Microsoft SharePoint サーバー上にデータベース・ビューを作成する必要があります。
始める前に
ビューの名前やテーブルの名前にピリオド(.) を使用しないでください。 ビュー名やテーブル名にピリオドを使用した場合、JDBC はそのビュー内のデータにアクセスできず、アクセスが拒否されます。 ピリオド (.) より後にあるものはすべて子オブジェクトとして扱われます。
手順
- Microsoft SharePoint SQL データベースをホストするシステムにログインします。
- 「スタート」 メニューから、 「ファイル名を指定して実行」を選択します。
- 以下のコマンドを入力します。
- 「OK」をクリックします。
Microsoft SQL Server 2008 に 「サーバーへの接続」 ウィンドウが表示されます。
- Microsoft SharePoint データベースにログインします。
- 「接続」をクリックします。
- SharePoint データベースの 「オブジェクト・エクスプローラー」 から、 をクリックします。
- ナビゲーション・メニューから、 「新規照会」をクリックします。
- 「照会」 ペインで、以下の Transact-SQL ステートメントを入力して、 AuditEvent データベース・ビューを作成します。
create view dbo.AuditEvent as select a.siteID
,a.ItemId ,a.ItemType ,u.tp_Title as "User" ,a.MachineName ,a.MachineIp ,a.DocLocation ,a.LocationType ,a.Occurred as "EventTime" ,a.Event as "EventID" ,a.EventName ,a.EventSource ,a.SourceName ,a.EventData
from WSS_Content.dbo.AuditData a, WSS_Content.dbo.UserInfo u where a.UserId = u.tp_ID and a.SiteId = u.tp_SiteID;
- 「照会」 ペインで、右クリックして 「実行」を選択します。
ビューが作成されると、結果ペインに以下のメッセージが表示されます。
Command(s) completed successfully.
dbo.AuditEvent ビューが作成されます。 これで、 QRadar でログ・ソースを構成して、監査イベントのためにビューをポーリングする準備ができました。