KSC PostgreSQL
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка PostgreSQL
Настройки на сервере БД PostgreSQL можно выполнять в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка).
В данной статье сервер БД PostgreSQL работает под управлением ОС Astra Linux, а все настройки выполняются в консоли.
Для удобства в базе данных PostgreSQL Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC PostgreSQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.
Коннектор [OOTB] KSC PostgreSQL позволяет экспортировать события из БД PostgreSQL Kaspersky Security Center (KSC) версии 15.0.
Проверена работоспособность коннектора с KSC 14.2 Windows (БД PostgreSQL).
Проверка имени БД KSC
Чтобы проверить имя базы данных KSC можно воспользоваться следующей статьей:
https://support.kaspersky.ru/ksc-linux/15/228689 (KSC Linux)
Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:
- Измените текущего пользователя на postgres
sudo -i -u postgres- Запустите интерактивный терминал PostgreSQL и выведите список баз данных сервера
psql
\l # вывод списка баз данных сервера
Создание роли БД и предоставление прав
- В консоли сервера, где установлена БД PostreSQL KSC, измените текущего пользователя на postgres
sudo -i -u postgres- Запустите интерактивный терминал PostgreSQL
psqlТакже для создания роли БД и предоставления ей соответствующих прав можно использовать существующую учетную запись с атрибутом role creation и правами доступа к публичным представлениям.
Пример подключения к БД:
psql -U <имя УЗ> -d <имя БД KSC>
- Создайте роль пользователя kuma
CREATE USER kuma WITH PASSWORD '<задайте пароль>';- Подключитесь к БД KSC (см. Раздел "Проверка имени БД KSC". По умолчанию KAV)
\connect KAV- Предоставьте права роли KUMA
GRANT SELECT ON v_akpub_ev_event TO kuma;
GRANT SELECT ON v_akpub_host TO kuma;
GRANT SELECT ON v_akpub_virus_activity TO kuma;
GRANT SELECT ON v_akpub_hst_prdstate TO kuma;
GRANT SELECT ON v_akpub_host_status TO kuma;Настройка удаленного доступа к БД PostgreSQL и метода аутентификации
- Откройте файл /etc/postgresql/<версия БД PostgreSQL>/main/pg_hba.conf и в секции IPv4 local connections добавьте следующую строку
host <имя БД,например, KAV> kuma <IP-адрес коллектора KUMA>/32 scram-sha-256
- Откройте файл конфигурации /etc/postgresql/<версия БД PostgreSQL>/main/postgresql.conf и в секции CONNECTIONS AND AUTHENTICATION укажите IP-адрес интерфейса сервера БД, на котором будут "прослушиваться" входящие соединения
- После внесения изменений и сохранения файла конфигурации выполните рестарт сервиса PostgreSQL
systemctl restart postgresqlПри необходимости разрешите входящие соединения на порт БД PostgreSQL (по умолчанию, TCP/5432) в параметрах локального FW.
Создание секрета KUMA
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты
2. Выберите секрет [OOTB] KSC PostgreSQL connection и нажмите Дублировать.
3. В появившемся окне задайте:
- Название секрета
- URL (формат URL можно взять из Описания к секрету). В поле URL укажите:
- Имя ранее созданной роли (в нашем примере это kuma) и ее пароль;
- IP-адрес или FQDN сервера БД;
- Наименование БД KSC (по умолчанию KAV. См. Проверка имени БД KSC).
Если в пароле используются спецсимволы необходимо перевести данные спецсимволы в URL формат в соответствии с таблицей ниже.
Примеры
postgres://kuma:p%40ssword123%21@server.demo.lab/KAV
| ! | # | $ | % | & | ' | ( | ) | * | + |
| %21 | %23 | %24 | %25 | %26 | %27 | %28 | %29 | %2A | %2B |
| , | / | : | ; | = | ? | @ | [ | ] | \ |
| %2C | %2F | %3A | %3B | %3D | %3F | %40 | %5B | %5D | %5C |
Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/
Пример:
По умолчанию коллектор KUMA при обращении к БД PostgreSQL будет пытаться построить TLS-туннель. Если на стороне сервера БД не настроено использование SSL/TLS (что НЕ рекомендуется!) в URL секрета необходимо добавить "?sslmode=disable", чтобы строка приняла следующий вид:
postgres://user:password@server/database?sslmode=disable
4. Нажмите Сохранить.
Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.
Настройка коннектора
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы
2. В списке коннекторов справа найдите коннектор [OOTB] KSC PostgreSQL и нажмите Дублировать
3. В появившемся окне задайте:
- Название коннектора
- На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный ранее для подключения к БД PostgreSQL KSC.
4. Нажмите Сохранить.
Настройка коллектора
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы и нажмите Подключить источник
2. В появившемся окне задайте Название коллектора и Тенант
3. На шаге Транспорт выберите ранее созданный коннектор
4. На шаге Парсинг событий выберите нормализатор [OOTB] KSC from SQL.
5. На шаге Маршрутизация задайте следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
6. На шаге Проверка параметров нажмите Сохранить и создать сервис.
7. Скопируйте появившуюся команду и выполните установку сервиса коллектора.
Проверка поступления событий KSC в KUMA
Для проверки, что экспорт событий из БД KSC успешно настроен, перейдите в Ресурсы -> Активные сервисы -> выберите ранее созданный коллектор KSC PostgreSQL и нажмите Перейти к событиям.
В открывшемся окне События убедитесь, что присутствуют события KSC.
No Comments