KSC MS SQL
✔️ Рекомендуется - Рекомендуемый способ сбора для этого источника событий
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/3.4/ru-RU/245386.htm
SQL Server должен поддерживать TLS 1.2 - дополнительную информацию можно изучить тут: https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server
Для отключения защищенного подключения к БД можно воспользоваться следующей опцией в коннекторе: sqlserver://user:password@server:port?database=DBName&encrypt=disable
Настройка БД MS SQL
Для сбора событий из БД MS SQL необходимо создать учетную запись с соответствующеми правами. Для этого выполните следующие действия:
1. Перейдите на сервер, где установлена БД MS SQL для KSC. С помощью Microsoft SQL Server Management Studio подключитесь к БД из-под учетной записи, обладающей правами администратора в БД.

2. Перейдите в соответствующий экземпляр БД MS SQL на вкладку Security и для вкладки Logins выберите New Login...

3. Добавьте учетную запись пользователя, с помощью которой будет осуществляться доступ к БД KSC

4. Установите для учетной записи БД KSC в качестве БД по умолчанию (по умолчанию в KSC используется БД KAV).
5. Настройте учетной записи права db_datareader и public для БД KSC в соответствии с изображением ниже.

6. Убедитесь, что созданной учетной записи разрешено подключение к БД.
Для проверки прав созданной учетной записи можно запустить Microsoft SQL Management Studio от имени созданного пользователя (с зажатым Shift нажать ПКМ и выбрать Запуск от имени другого пользователя). Затем перейти в любую таблицу БД KSC и сделать выборку по этой таблице.
Настройка SQL Server Browser
Для подключения к серверу MS SQL для сбора событий необходимо настроить соответствующую службу и разрешить входящие подключения. Для этого выполните следующие действия:
1. Откройте оснастку SQL Server Configuration Manager. Запустите службу SQL Server Browser и задайте автоматический запуск службы.


2. Включите TCP/IP протокол для соответствующего экземпляра БД.
3. В свойствах протокола, на вкладке IP Addresses для поля IPALL в TCP Port укажите значение 1433.
4. Перезапустите службу экземпляра SQL сервера.
5. Разрешите на сервере входящие подключения по порту 1433. Это можно сделать в оснастке Брандмауэр защитника Windows в режиме повышенной безопасности.
Создание секрета KUMA
Для подключения к БД MS SQL со стороны KUMA необходимо создать строку подключения. Для этого выполните следующие действия:
1. ВОткройте раздел веб-интерфейсеинтерфейса KUMA перейдите на вкладку Ресурсы → Секреты. иОтобразится нажмитесписок доступных секретов.
2. Нажмите на кнопку Добавить секрет., чтобы создать новый секрет. Откроется окно секрета.
2.3. УкажитеВведите данные секрета:
· В поле ИмяНазвание секрета,укажите выберитеимя для добавляемого секрета.
· В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
· В раскрывающемся списке Тип выберите credentials.
· В поле Пользователь укажите имя созданной ранее учетной записи (для доменной учетной записи используйте формат: домен\имя учетной записи)
· В поле Пароль укажите пароль учетной записи
· Нажмите Создать.
Из соображений безопасности после сохранения секрета строки, указанные в полях Пользователь и Пароль, скрываются.
Настройка коннектора
Для подключения KUMA к БД MS SQL требуется настроить коннектор. Чтобы настроить коннектор выполните следующие действия:
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
2. В списке коннекторов справа выберите коннектор [OOTB] KSC MSSQL и нажмите Дублировать.
3. В появившемся окне Создание коннектора укажите:
· Название коннектора
· В секции Соединение:
· Тип базы данных – MSSQL
· Секрет отдельно - активировать
· URL – sqlserver:// <IP-адрес/FQDN сервера БД KSC>:1433/<имя БД, по умолчанию KAV>
Пример: sqlserver:// ksc.example.com:1433/KAV
· Секрет – секрет, созданный на предыдущем шаге
· Тип базы данных – MSSQL
· Секрет отдельно - активировать
· URL – sqlserver:// <IP-адрес/FQDN сервера БД KSC>:1433/<имя БД, по умолчанию KAV>
Пример: sqlserver:// ksc.example.com:1433/KAV
· Секрет – секрет, созданный на предыдущем шаге
· Начальное значение идентификатора - <текущий год>-01-01T00:00:00.000 (например, 2025-01-01T00:00:00.000)
4. Нажмите Создать.
Настройка коллектора
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Kaspersky Security Center из MS SQL.
1. Для создания коллектора в веб-интерфейсе KUMA перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник.
2. В появившемся окне мастера настройки Создание коллектора на первом шаге (Подключение источников) выберите Имя коллектора и Тенант, к которому будет относитьсяпринадлежать создаваемый секрет.коллектор.
3. Задайте секрету тип urls и в поле URL укажите строку вида (в квадратных скобках опциональный параметр, квадратные скобки прописывать не надо):sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/<наименование БД>
Если3. На втором шаге мастера (Транспорт) укажите ранее созданный коннектор для подключения к БД на сервере MSSQL была создана локальная учетная запись и выбран тип Windows Authentication необходимо указать строку вида:sqlserver://<hostname сервера БД>%5C<username>:<password>@<server>:1433/<наименование БД>
По умолчанию наименование БД импользуется KAV:.
Примеры
sqlserver://test.local%5Cuser:password123!@10.0.0.1:1433/KAV
sqlserver://srv-mssql%5Clocaluser:password123!@10.0.0.1:1433/KAV
sqlserver://user:password123!@server.demo.lab:1433/KAV
%5C – используется для разделения домена и пользователя и представляет собой знак \ в URL-формате.Если в пароле пользователя используются спецсимволы их также необходимо перевести в URL формат в соответствии с таблицей ниже.
Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/ пример: 

Если4. вНа паролетретьем присутствуютшаге другиемастера спецсимволы,укажите которыенормализатор. отсутствуютВ вданном таблицеслучае выше, либо просто для удобства, то с версии KUMA 3.2 можнорекомендуется использовать опцию«коробочный» -нормализатор Секрет[OOTB] отдельноKSC дляfrom указания логина и пароля.SQL.
4. Сохраните созданный секрет.
Обратите5. внимание,Шаги послемастера сохранениянастройки секретас полечетвертого URLпо будетшестой пустымявляются воопциональными, избежаниеих утечкиможно чувствительнойпропустить информации.и вернуться к настройке позднее.
Настройка коннектора
1.6. На седьмом шаге мастера задайте точки назначения. Для подключенияхранения ксобытий БДдобавьте MSточку SQLназначения необходимотипа настроитьХранилище. коннетор.В Дляслучае этогоесли выполнитепредполагается следующиетакже действияанализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор.
2. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
3. В
коннекторов
7. На завершающем шаге мастера нажмите на кнопку [OOTB] KSC SQLСоздать и откройтесохранить егосервис. дляПосле редактирования.
Чтострока делать,установки еслисервиса, ресурс не доступен для редактирования
появится Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случаекоторую необходимо скопировать OOTB-ресурсдля идальнейшей произвести редактирование в копии этого ресурса.установки.
Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
4. На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный для подключения к БД MS SQL.
5.
8. Нажмите Сохранить.
Запрос из
9. собираетПосле событиявыполнения свышеуказанных таймзонойдействий в UTC,разделе дляРесурсы изменения→ Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
1. Выполните подключение к CLI сервера коллектора KUMA.
2. Для установки сервиса коллектора в командной строке выполните команду под учетной записью root, скопированную на другуюпрошлом таймзону - измените запросашаге.
Настройка коллектора
3. После успешной установки сервиса его статус в веб-интерфейсеконсоли KUMA изменится на ВКЛ с зеленой индикацией.
Проверка поступления событий KSC в KUMA
1. Для проверки, что сбор событий KSC из БД MSSQL успешно настроен перейдите в разделРесурсы → Активные сервисы → выберите ранее созданный Ресурсыколлектор → Коллекторы.
2. В списке коллекторов найдите коллектор с нормализатором [OOTB]для KSC fromMSSQL SQL и откройтенажмите егоПерейти дляк редактирования.
Что делать, если ресурс не доступен для редактирования
Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.
Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
3. На шаге Транспорт выберите коннектор [OOTB] KSC SQLсобытиям.
Парсинг
2. проверьте,В открывшемся окне События убедитесь, что выбранприсутствуют нормализаторсобытия [OOTB]KSC. KSC from SQL.
6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7. На шаге Проверка параметров нажмите Сохранить и создать сервис.
8. Скопируйте появившуюся команду для установки коллектора KUMA.
Альтернативный вариант создания коллектора
В случае, если предполагается использование коробочных ресурсов без изменений:
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Секреты
2. Откройте на редактирование секрет [OOTB] KSC MSSQL connection
3. Задайте в секрете строку подключения в соответствии с разделом "Создание секрета KUMA"
4. Сохраните созданный секрет с помощью кнопки "Сохранить"
5. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.
6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7. На шаге Проверка параметров нажмите Сохранить и создать сервис.
8. Скопируйте появившуюся команду для установки коллектора KUMA.











