Creazione di una vista database

Microsoft EndPoint Protection utilizza SQL Server Management Studio (SSMS) per gestire i database EndPoint Protection SQL.

1. Accedere al sistema che ospita il database Microsoft EndPoint Protection SQL.
2. Dal menu Start , selezionare Esegui.
3. Immettere il seguente comando:

   ssms

4. Fare clic su OK.
5. Accedi al tuo database Microsoft Endpoint Protection.
6. Da Esplora oggetti, selezionare Databases.
7. Selezionare il tuo database e fare clic su Visualizzazioni.
8. Dal menu di navigazione, fare clic su Nuova query.
9. Nel riquadro Query , digitare la seguente istruzione Transact - SQL per creare la vista del database:

   create view dbo.MalwareView as select n.Type , n.RowID , n.Name , n.Description , n.Timestamp , n.SchemaVersion , n.ObserverHost , n.ObserverUser , n.ObserverProductName , n.ObserverProductversion , n.ObserverProtectionType , n.ObserverProtectionVersion , n.ObserverProtectionSignatureVersion , n.ObserverDetection , n.ObserverDetectionTime , n.ActorHost , n.ActorUser , n.ActorProcess , n.ActorResource , n.ActionType , n.TargetHost , n.TargetUser , n.TargetProcess , n.TargetResource , n.ClassificationID , n.ClassificationType , n.ClassificationSeverity , n.ClassificationCategory , n.RemediationType , n.RemediationResult , n.RemediationErrorCode , n.RemediationPendingAction , n.IsActiveMalware , i.IP_Addresses0 as 'SrcAddress' 

   from v_AM_NormalizedDetectionHistory n, System_IP_Address_ARR i, v_RA_System_ResourceNames s, Network_DATA d where n.ObserverHost = s.Resource_Names0 and s.ResourceID = d.MachineID and d.IPEnabled00 = 1 and d.MachineID = i.ItemKey and i.IP_Addresses0 like '%.%.%.%';

10. Dal riquadro Query , fare clic con il tasto destro del mouse e selezionare Esegui.

    Se la vista viene creata, nel riquadro dei risultati viene visualizzato il seguente messaggio:

    Command(s) completed successfully.

Operazioni da eseguire successivamente

Ora è possibile configurare un'origine log in IBM QRadar.