Microsoft Endpoint Protection
Microsoft Endpoint Protection DSM for IBM QRadar recopila sucesos de detección de programas maliciosos.
QRadar recopila sucesos de detección de programas maliciosos utilizando el protocolo JDBC . La adición de sucesos de detección de programas maliciosos a QRadar ofrece la posibilidad de supervisar y detectar sistemas infectados por programas maliciosos en el despliegue.
Los sucesos de detección de programas maliciosos incluyen los siguientes tipos de sucesos:
- Nombre del sitio y el origen desde el que se ha detectado el programa malicioso.
- Nombre de amenaza, ID de amenaza y gravedad.
- ID de usuario asociado a la amenaza.
- Tipo de suceso, indicación de fecha y hora y la acción de limpieza que se realiza en el programa malicioso.
visión general de la configuración
Microsoft Endpoint Protection DSM utiliza JDBC para sondear una base de datos SQL en busca de datos de sucesos de detección de programas maliciosos. Este DSM no lo descubre automáticamente. Para integrar Microsoft Endpoint Protection con QRadar, realice los pasos siguientes:
- Si su base de datos no está configurada con Consulta predefinida, cree una vista de base de datos SQL para QRadar® con los datos de eventos de detección de malware.
- Configure un origen de registro JDBC para sondear sucesos de la base de datos de Microsoft Endpoint Protection. Para obtener información sobre cómo configurar los parámetros de origen de registro de JDBC para Microsoft Endpoint Protection, consulte Parámetros de origen de registro de Microsoft Endpoint Protection JDBC para consultas de base de datos predefinidas.
- Asegúrese de que ninguna regla de cortafuegos esté bloqueando la comunicación entre QRadar y la base de datos asociada con Microsoft Endpoint Protection.