O Microsoft SharePoint usa SQL Server Management Studio (SSMS) para gerenciar os bancos de dados SQL SharePoint . Para coletar dados do evento de auditoria, deve-se criar uma visualização do banco de dados no servidor Microsoft SharePoint que esteja acessível ao IBM
QRadar.
Antes de iniciar
Não use um ponto-final (.) no nome de sua visualização ou em qualquer um dos nomes de tabela. Se
você usar um ponto-final na visualização ou no nome de tabela, o JDBC não poderá acessar os dados dentro da
visualização e o acesso será negado. Tudo o que estiver após um (.) será tratado como um objeto-filho.
Procedimento
- Efetue login no sistema que hospeda seu banco de dados SQL do Microsoft SharePoint .
- A partir do menu Iniciar , selecione Executar.
- Digite o seguinte comando:
- Clique em OK.
O Microsoft SQL Server 2008 exibe a janela Connect to Server .
- Efetue login no banco de dados do Microsoft SharePoint .
- Clique em Connect.
- No Object Explorer para seu banco de dados SharePoint , clique em .
- A partir do menu de navegação, clique em Nova Consulta.
- Na área de janela Consulta , digite a seguinte instrução Transact-SQL para criar a visualização do banco de dados AuditEvent :
create view dbo.AuditEvent as select a.siteID
,a.ItemId ,a.ItemType ,u.tp_Title as "User" ,a.MachineName ,a.MachineIp ,a.DocLocation ,a.LocationType ,a.Occurred as "EventTime" ,a.Event as "EventID" ,a.EventName ,a.EventSource ,a.SourceName ,a.EventData
from WSS_Content.dbo.AuditData a, WSS_Content.dbo.UserInfo u where a.UserId = u.tp_ID and a.SiteId = u.tp_SiteID;
- A partir da pane Consulta , clique com o botão direito do mouse e selecione Executar.
Se a visualização tiver sido criada, a mensagem a seguir será exibida na área de
janela de resultados:
Command(s) completed successfully.
A visualização dbo.AuditEvent é criada. Agora você está pronto para configurar a origem de log no QRadar para pesquisar a visualização para eventos de auditoria.