Configurando uma origem de log do Microsoft SQL Server

Use este procedimento se o QRadar Console não descobriu automaticamente a origem de log do Microsoft Windows Security Event.

Procedimento

  1. Clique na guia Admin.
  2. No menu de navegação, clique em Origens de dados.
  3. Clique no ícone Origens de Log.
  4. Clique no botão Incluir.
  5. Na lista Tipo de origem de log, selecione Microsoft SQL Server.
  6. Na lista Configuração de protocolo, selecione JDBC ou WinCollect.
  7. Opcional. Se você desejar configurar eventos para o JDBC, configure os parâmetros de origem de log do Microsoft SQL Server a seguir:
    Parâmetro Descrição
    Identificador de origem de log

    Digite o identificador da origem de log no formato a seguir:

    <Banco de dados SQL>@<IP do servidor de banco de dados SQL ou nome do host>

    Em que:

    <Banco de dados SQL> é o nome do banco de dados, conforme inserido no parâmetro Database Name.

    <IP do servidor de banco de dados SQL ou nome do host> é o nome do host ou o endereço IP para essa origem de log, conforme inserido no parâmetro IP or Hostname.
    Tipo de banco de dados Na lista, selecione MSDE.
    Nome do banco de dados Digite Principal como o nome do banco de dados Microsoft SQL.
    IP ou nome do host Digite o endereço IP ou o nome do host do Microsoft SQL Server.
    Porta

    Digite o número da porta que é usado pelo servidor de banco de dados. A porta padrão para o MSDE é 1433.

    A porta de configuração JDBC deve corresponder à porta do listener do banco de dados Microsoft SQL. O banco de dados Microsoft SQL deve ter conexões TCP recebidas que estejam ativadas para comunicação com o QRadar.

    Importante: Se você definir uma Instância de banco de dados quando usar o MSDE como o Tipo de banco de dados, deverá deixar o parâmetro Port em branco na sua configuração.
    Nome do usuário Digite o nome do usuário para acessar o banco de dados SQL.
    Senha Digite a senha para acessar o banco de dados SQL.
    Confirmar senha Digite a senha para acessar o banco de dados SQL.
    Domínio de Autenticação Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver configurado para Windows, deverá definir um Domínio de autenticação do Windows. Caso contrário, deixe este campo em branco.
    Instância de Banco de Dados
    Opcional: Se você tiver várias instâncias do SQL server em seu servidor de banco de dados, digite a instância de banco de dados.
    Importante: Se você tiver uma porta não padrão na configuração do banco de dados ou o acesso à porta 1434 estiver bloqueado para resolução do banco de dados SQL, deve-se deixar o parâmetro Database Instance em branco.
    Nome da tabela Digite dbo.AuditData como o nome da tabela ou da visualização que inclui os registros de eventos de auditoria.
    Selecionar Lista

    Digite * para todos os campos da tabela ou visualização.

    É possível usar uma lista separada por vírgula para definir campos específicos de tabelas ou visualizações. A lista deve conter o campo que está definido no parâmetro Comparar campo. A lista separada por vírgula pode ter no máximo 255 caracteres. É possível incluir caracteres especiais, símbolo de dólar ($), sinal de número (#), sublinhado (_), traço (-) e ponto (.).
    Comparar Campo Digite event_time no parâmetro Compare Field. O Compare Field identifica novos eventos que são incluídos entre as consultas, na tabela.
    Data e Horário de Início
    Opcional: Digite a data e hora de início para a pesquisa de banco de dados.

    O parâmetro Start Date and Time deve ser formatado como yyyy-MM-dd HH:mm com HH especificado usando um relógio de 24 horas. Se a data ou hora de início for limpa, a pesquisa começa imediatamente e repete no intervalo de pesquisa especificado.
    Usar Instruções Preparadas

    Marque a caixa de seleção para usar instruções preparadas

    Instruções preparadas permitem que a origem do protocolo JDBC configure a instrução SQL e, em seguida, execute a instrução SQL várias vezes com parâmetros diferentes. Por motivos de segurança e desempenho, convém usar instruções preparadas.

    Limpar esta caixa de seleção requer que você use um método alternativo de consulta que não use instruções pré-compiladas.
    Intervalo de pesquisa

    Você pode digitar um número de intervalo de sondagem. O intervalo de pesquisa é o tempo entre as consultas à tabela de eventos. O intervalo de pesquisa padrão é de 10 segundos.

    É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em qualquer formato de hora. Valores numéricos que são inseridos sem H ou M pesquisam em segundos.
    Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse protocolo exceda. O valor padrão é 20000 EPS.
    Usar Comunicação de Canal Nomeado

    Limpe a caixa de seleção Usar comunicações de canal nomeado.

    Se você usar uma conexão Canal nomeado, o nome de usuário e a senha deverão ser os de autenticação apropriados do Windows e não os do banco de dados. Além disso, deve-se usar o Canal nomeado padrão.
    Nome do Cluster do Banco de Dados Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o parâmetro Nome do cluster do banco de dados será exibido. Se você estiver executando seu SQL server em um ambiente em cluster, defina o nome do cluster.
  8. Opcional. Se deseja configurar eventos para o WinCollect, consulte Guia do Usuário do IBM QRadar WinCollect.
  9. Clique em Salvar.
  10. Na guia Administrador, clique em Implementar mudanças.
Tópico pai: Microsoft SQL Server