KSC PostgreSQL
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка сбора событий напрямую из базы данных PostgreSQL Kaspersky Security Center состоит из 2х этапов:
Настройка PostgreSQL
НастройкуНастройки параметровна сервере БД PostgreSQL можно выполнитьвыполнять в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка).
В даннойрассматриваемом статьепримере рассматриваетсясервер БД PostgreSQL работает под управлением ОС Astra Linux, а все настройки выполняются консольныйв вариант.консоли.
Для удобства в базе данных Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC PostgreSQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.
Коннектор [OOTB] KSC PostgreSQL предназначен только для сбора событий из Kaspersky Security Center (KSC) версии 15.0 c базой данных PostgreSQL.
Для сбора событий из БД PostgreSQL необходимо создать роль с правами ....
Создание роли БД
sudo -i -u postgrespsqlCREATE USER kuma WITH PASSWORD '<задайте пароль>';ALTER ROLE kuma SET search_path TO KAV;GRANT USAGE ON SCHEMA public TO kuma; (под вопросом, есть только схема public)
Подключиться к БД KAV
\c KAV
GRANT SELECT ON v_akpub_ev_event TO kuma;
GRANT SELECT ON v_akpub_host TO kuma;
Проверка имени БД KSC
Чтобы проверить имя базы данных KSC можно воспользоваться следующимиследующей статьями:
https://support.kaspersky.com/help/KSC/14.2/ru-RU/151339.htm (MMC)статьей:
https://support.kaspersky.ru/ksc-linux/15/228689 (KSC Linux)
Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:
- Измените текущего пользователя на postgres
sudo -i -u postgres- Запустите интерактивный терминал PostgreSQL и выведите список баз данных сервера
psql
\l # вывод списка баз данных сервера
Создание роли БД
sudo -i -u postgrespsql
create user kuma;Создание пользователя
Создание пользователя
Для этого выполните следующие действия:
1. Перейдите на сервер, где установлена БД MS SQL для KSC. С помощью Microsoft SQL Server Management Studio подключитесь к БД из-под учетной записи, обладающей правами администратора в БД.
2. Перейдите в соответствующий экземпляр БД MS SQL на вкладку Security и для вкладки Logins выберите New Login...
3. Добавьте учетную запись пользователя, с помощью которой будет осуществляться доступ к БД KSC
4. Установите для учетной записи БД KSC в качестве БД по умолчанию (по умолчанию в KSC используется БД KAV).
5. Настройте учетной записи права db_datareader и public для БД KSC в соответствии с изображением ниже.
6. Убедитесь, что созданной учетной записи разрешено подключение к БД.
Для проверки прав созданной учетной записи можно запустить Microsoft SQL Management Studio от имени созданного пользователя (с зажатым Shift нажать ПКМ и выбрать Запуск от имени другого пользователя). Затем перейти в любую таблицу БД KSC и сделать выборку по этой таблице.
Настройка SQL Server Browser
Для подключения к серверу MS SQL для сбора событий необходимо настроить соответствующую службу и разрешить входящие подключения. Для этого выполните следующие действия:
1. Откройте оснастку SQL Server Configuration Manager. Запустите службу SQL Server Browser и задайте автоматический запуск службы.
2. Включите TCP/IP протокол для соответствующего экземпляра БД.
3. В свойствах протокола, на вкладке IP Addresses для поля IPALL в TCP Port укажите значение 1433.
4. Перезапустите службу экземпляра SQL сервера.
5. Разрешите на сервере входящие подключения по порту 1433. Это можно сделать в оснастке Брандмауэр защитника Windows в режиме повышенной безопасности.
Создание секрета KUMA
Для подключения к БД MS SQL со стороны KUMA необходимо создать строку подключения. Для этого выполните следующие действия:
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить секрет.
2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.
3. Задайте секрету тип urls и в поле URL укажите строку вида:
sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/KAV
Примеры
sqlserver://test.local%5Cuser:password123!@10.0.0.1:1433/KAVsqlserver://user:password123!@server.demo.lab:1433/KAV
%5C – используется для разделения домена и пользователя и представляет собой знак \ в URL-формате.
Если в пароле пользователя используются спецсимволы их также необходимо перевести в URL формат в соответствии с таблицей ниже.
| ! | # | $ | % | & | ' | ( | ) | * | + |
| %21 | %23 | %24 | %25 | %26 | %27 | %28 | %29 | %2A | %2B |
| , | / | : | ; | = | ? | @ | [ | ] | \ |
| %2C | %2F | %3A | %3B | %3D | %3F | %40 | %5B | %5D | %5C |
Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/ пример: 
4. Сохраните созданный секрет.
Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.
Настройка коннектора
1. Для подключения к БД MS SQL необходимо настроить коннетор. Для этого выполните следующие действия
2. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
3. В списке коннекторов справа найдите коннектор [OOTB] KSC SQL и откройте его для редактирования.
Что делать, если ресурс не доступен для редактирования
Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.
Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
4. На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный для подключения к БД MS SQL.
5. Нажмите Сохранить.
Настройка коллектора
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.
2. В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC from SQL и откройте его для редактирования.
Что делать, если ресурс не доступен для редактирования
Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.
Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
3. На шаге Транспорт выберите коннектор [OOTB] KSC SQL
4. На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC from SQL.
6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7. На шаге Проверка параметров нажмите Сохранить и создать сервис.
8. Скопируйте появившуюся команду для установки коллектора KUMA.
Альтернативный вариант создания коллектора
В случае, если предполагается использование коробочных ресурсов без изменений:
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Секреты
2. Откройте на редактирование секрет [OOTB] KSC MSSQL connection
3. Задайте в секрете строку подключения в соответствии с разделом "Создание секрета KUMA"
4. Сохраните созданный секрет с помощью кнопки "Сохранить"
5. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.
6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7. На шаге Проверка параметров нажмите Сохранить и создать сервис.
8. Скопируйте появившуюся команду для установки коллектора KUMA.