Skip to main content

KSC PostgreSQL

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

ОфНастройка сбора событициальй напрямую документиз бация позы данных PostgreSQL Kaspersky Security Center сомстоит из 2х этапов:

  1. Создание учетной рзаписи 
  2. Раздрелу приведшение удаленного доступа
  3. Создание секрета в(учетных Оданных) длайн-я доступравке на продукт:
  4. https://support.kaspersky.com/KUMA/2.1/ru-RU/245386.htm

Настройка БДPostgreSQL

MS

Настройку SQLпараметров PostgreSQL можно выполнить в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка). В данной статье рассматривается консольный вариант.

Для сбора событий из БД MS SQLPostgreSQL необходимо создать учетную записроль с соответствующеми правами ...

Проверка имени БД KSC

Чтобы проверить имя базы данных  KSC можно воспользоваться следующими статьями:

https://support.kaspersky.com/help/KSC/14.2/ru-RU/151339.htm (MMC)

https://support.kaspersky.ru/ksc-linux/15/228689 (KSC Linux)

Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:

  • Измените текущего пользователя на postgres

 

sudo -i -u postgres
  • Запустите интерактивный терминал PostgreSQL и выведите список баз данных сервера
psql

\l # вывод списка баз данных сервера

image.png

 

Создание роли БД

  • В консоли сервера, где установлена БД PostreSQL KSC, измените текущего пользователя на postgres
sudo -i -u postgres

 

  • Запустите интерактивный терминал PostgreSQL и создайте роль kuma
psql

create user kuma;

 

 

Создание пользователя

 

Создание пользователя 

Для этого выполните следующие действия:

1. Перейдите на сервер, где установлена БД MS SQL для KSC. С помощью Microsoft SQL Server Management Studio подключитесь к БД из-под учетной записи, обладающей правами администратора в БД.

image.png

2. Перейдите в соответствующий экземпляр БД MS SQL на вкладку Security и для вкладки Logins выберите New Login...

image.png

3. Добавьте учетную запись пользователя, с помощью которой будет осуществляться доступ к БД KSC


image.png

4. Установите для учетной записи БД KSC в качестве БД по умолчанию (по умолчанию в KSC используется БД KAV).
image.png

5. Настройте учетной записи права db_datareader и public для БД KSC в соответствии с изображением ниже.

image.png

6. Убедитесь, что созданной учетной записи разрешено подключение к БД.
image.png

Для проверки прав созданной учетной записи можно запустить Microsoft SQL Management Studio от имени созданного пользователя (с зажатым Shift нажать ПКМ и выбрать Запуск от имени другого пользователя). Затем перейти в любую таблицу БД KSC и сделать выборку по этой таблице.


Настройка SQL Server Browser

Для подключения к серверу MS SQL для сбора событий необходимо настроить соответствующую службу и разрешить входящие подключения. Для этого выполните следующие действия:

1. Откройте оснастку SQL Server Configuration Manager. Запустите службу SQL Server Browser и задайте автоматический запуск службы.

image.png

image.png

2. Включите TCP/IP протокол для соответствующего экземпляра БД.
image.png

3. В свойствах протокола, на вкладке IP Addresses для поля IPALL в TCP Port укажите значение 1433.
image.png

4. Перезапустите службу экземпляра SQL сервера.
image.png

5. Разрешите на сервере входящие подключения по порту 1433. Это можно сделать в оснастке Брандмауэр защитника Windows в режиме повышенной безопасности.
image.png


Создание секрета KUMA

Для подключения к БД MS SQL со стороны KUMA необходимо создать строку подключения. Для этого выполните следующие действия:

1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить секрет.

2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.

3. Задайте секрету тип urls и в поле URL укажите строку вида:
sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/KAV

Примеры

sqlserver://test.local%5Cuser:password123!@10.0.0.1:1433/KAV
sqlserver://user:password123!@server.demo.lab:1433/KAV

%5C – используется для разделения домена и пользователя и представляет собой знак \ в URL-формате.
Если в пароле пользователя используются спецсимволы их также необходимо перевести в URL формат в соответствии с таблицей ниже.

! # $ % & ' ( ) * +
%21 %23 %24 %25 %26 %27 %28 %29 %2A %2B
, / : ; = ? @ [ ] \
%2C %2F %3A %3B %3D %3F %40 %5B %5D %5C

Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/ пример: image.png

4. Сохраните созданный секрет.

Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.


Настройка коннектора

1. Для подключения к БД MS SQL необходимо настроить коннетор. Для этого выполните следующие действия

2. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коннекторы.

3. В списке коннекторов справа найдите коннектор [OOTB] KSC SQL и откройте его для редактирования.

Что делать, если ресурс не доступен для редактирования

Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

4. На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный для подключения к БД MS SQL.

5. Нажмите Сохранить.


Настройка коллектора

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коллекторы.

2. В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC from SQL и откройте его для редактирования.

Что делать, если ресурс не доступен для редактирования

Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

3. На шаге Транспорт выберите коннектор [OOTB] KSC SQL

4. На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC from SQL.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

  • Хранилище. Для отправки обработанных событий в хранилище.
  • Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.


Альтернативный вариант создания коллектора

В случае, если предполагается использование коробочных ресурсов без изменений:

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Секреты

2. Откройте на редактирование секрет [OOTB] KSC MSSQL connection

3. Задайте в секрете строку подключения в соответствии с разделом "Создание секрета KUMA"

4. Сохраните созданный секрет с помощью кнопки "Сохранить"

5. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коллекторы.

6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

  • Хранилище. Для отправки обработанных событий в хранилище.
  • Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.