Skip to main content

KSC PostgreSQL

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка PostgreSQL

Настройки на сервере БД PostgreSQL можно выполнять в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка).

В рассматриваемом примере сервер БД PostgreSQL работает под управлением ОС Astra Linux, а все настройки выполняются в консоли.

Для удобства в базе данных Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC PostgreSQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.

Коннектор [OOTB] KSC PostgreSQL предназначен только для сбора событий из Kaspersky Security Center (KSC) версии 15.0 c базой данных PostgreSQL.

Для сбора событий из БД PostgreSQL необходимо создать роль с правами .... 

Проверка имени БД KSC

Чтобы проверить имя базы данных  KSC можно воспользоваться следующей статьей:

https://support.kaspersky.ru/ksc-linux/15/228689 (KSC Linux)

Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:

  • Измените текущего пользователя на postgres
sudo -i -u postgres
  • Запустите интерактивный терминал PostgreSQL и выведите список баз данных сервера
psql

\l # вывод списка баз данных сервера

image.png

Создание роли БД и предоставление прав

  • В консоли сервера, где установлена БД PostreSQL KSC, измените текущего пользователя на postgres
sudo -i -u postgres
  • Запустите интерактивный терминал PostgreSQL
psql
  • Создайте роль пользователя kuma
CREATE USER kuma WITH PASSWORD '<задайте пароль>';

  • Подключитесь к БД KSC (см. Раздел "Проверка имени БД KSC". По умолчанию KAV)
ALTER\c ROLE kuma SET search_path TO KAV;KAV
  • Предоставьте права роли KUMA
GRANT USAGE ON SCHEMA public TO kuma; (под вопросом, есть только схема public)
Подключиться к БД KAV
\c KAV
GRANT SELECT ON v_akpub_ev_event TO kuma;
GRANT SELECT ON v_akpub_host TO kuma;
GRANT SELECT ON v_akpub_virus_activity TO kuma;
GRANT SELECT ON v_akpub_hst_prdstate TO kuma;
GRANT SELECT ON v_akpub_host_status TO kuma;

Настройка удаленного доступа к БД PostgreSQL и метода аутентификации

    Откройте файл /etc/postgresql/<версия БД PostgreSQL>/main/pg_hba.conf и в секции IPv4 local connections добавьте следующую строку 
    host   all   kuma   <IP-адрес коллектора KUMA>/32   md5

    image.png

      Откройте файл конфигурации /etc/postgresql/<версия БД PostgreSQL>/main/postgresql.conf и в секции CONNECTIONS AND AUTHENTICATION укажите IP-адрес интерфейса сервера БД, на котором будут "прослушиваться" входящие соединения

      image.png

        После внесения изменений и сохранения файла конфигурации выполните рестарт сервиса PostgreSQL 
        systemctl restart postgresql


        Создание пользователя

        Создание пользователя 

        Для этого выполните следующие действия:

        1. Перейдите на сервер, где установлена БД MS SQL для KSC. С помощью Microsoft SQL Server Management Studio подключитесь к БД из-под учетной записи, обладающей правами администратора в БД.

        image.png

        2. Перейдите в соответствующий экземпляр БД MS SQL на вкладку Security и для вкладки Logins выберите New Login...

        image.png

        3. Добавьте учетную запись пользователя, с помощью которой будет осуществляться доступ к БД KSC


        image.png

        4. Установите для учетной записи БД KSC в качестве БД по умолчанию (по умолчанию в KSC используется БД KAV).
        image.png

        5. Настройте учетной записи права db_datareader и public для БД KSC в соответствии с изображением ниже.

        image.png

        6. Убедитесь, что созданной учетной записи разрешено подключение к БД.
        image.png

        Для проверки прав созданной учетной записи можно запустить Microsoft SQL Management Studio от имени созданного пользователя (с зажатым Shift нажать ПКМ и выбрать Запуск от имени другого пользователя). Затем перейти в любую таблицу БД KSC и сделать выборку по этой таблице.

        Настройка SQL Server Browser

        Для подключения к серверу MS SQL для сбора событий необходимо настроить соответствующую службу и разрешить входящие подключения. Для этого выполните следующие действия:

        1. Откройте оснастку SQL Server Configuration Manager. Запустите службу SQL Server Browser и задайте автоматический запуск службы.

        image.png

        image.png

        2. Включите TCP/IP протокол для соответствующего экземпляра БД.
        image.png

        3. В свойствах протокола, на вкладке IP Addresses для поля IPALL в TCP Port укажите значение 1433.
        image.png

        4. Перезапустите службу экземпляра SQL сервера.
        image.png

        5. Разрешите на сервере входящие подключения по порту 1433. Это можно сделать в оснастке Брандмауэр защитника Windows в режиме повышенной безопасности.
        image.png

        Создание секрета KUMA

        Для подключения к БД MS SQL со стороны KUMA необходимо создать строку подключения. Для этого выполните следующие действия:

        1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты и нажмите на кнопку Добавить секрет.

        2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.

        3. Задайте секрету тип urls и в поле URL укажите строку вида:
        sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/KAV

        Примеры

        sqlserver://test.local%5Cuser:password123!@10.0.0.1:1433/KAV
        sqlserver://user:password123!@server.demo.lab:1433/KAV

        %5C – используется для разделения домена и пользователя и представляет собой знак \ в URL-формате.
        Если в пароле пользователя используются спецсимволы их также необходимо перевести в URL формат в соответствии с таблицей ниже.

        ! # $ % & ' ( ) * +
        %21 %23 %24 %25 %26 %27 %28 %29 %2A %2B
        , / : ; = ? @ [ ] \
        %2C %2F %3A %3B %3D %3F %40 %5B %5D %5C

        Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/ пример: image.png

        4. Сохраните созданный секрет.

        Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.

        Настройка коннектора

        1. Для подключения к БД MS SQL необходимо настроить коннетор. Для этого выполните следующие действия

        2. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коннекторы.

        3. В списке коннекторов справа найдите коннектор [OOTB] KSC SQL и откройте его для редактирования.

        Что делать, если ресурс не доступен для редактирования

        Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

        Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

        4. На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный для подключения к БД MS SQL.

        5. Нажмите Сохранить.

        Настройка коллектора

        1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коллекторы.

        2. В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC from SQL и откройте его для редактирования.

        Что делать, если ресурс не доступен для редактирования

        Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

        Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

        3. На шаге Транспорт выберите коннектор [OOTB] KSC SQL

        4. На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC from SQL.

        6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

        • Хранилище. Для отправки обработанных событий в хранилище.
        • Коррелятор. Для отправки обработанных событий в коррелятор.

        Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

        7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

        8. Скопируйте появившуюся команду для установки коллектора KUMA.

        Альтернативный вариант создания коллектора

        В случае, если предполагается использование коробочных ресурсов без изменений:

        1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Секреты

        2. Откройте на редактирование секрет [OOTB] KSC MSSQL connection

        3. Задайте в секрете строку подключения в соответствии с разделом "Создание секрета KUMA"

        4. Сохраните созданный секрет с помощью кнопки "Сохранить"

        5. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коллекторы.

        6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

        • Хранилище. Для отправки обработанных событий в хранилище.
        • Коррелятор. Для отправки обработанных событий в коррелятор.

        Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

        7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

        8. Скопируйте появившуюся команду для установки коллектора KUMA.

        Back to top