KSC PostgreSQL

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка PostgreSQL

Настройки на сервере БД PostgreSQL можно выполнять в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка).

В данной статье сервер БД PostgreSQL работает под управлением ОС Astra Linux, а все настройки выполняются в консоли.

Для удобства в базе данных PostgreSQL Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC PostgreSQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.

Коннектор [OOTB] KSC PostgreSQL предназначен только для сбора событий из Kaspersky Security Center (KSC) версии 15.0 c базой данных PostgreSQL.

Проверка имени БД KSC

Чтобы проверить имя базы данных  KSC можно воспользоваться следующей статьей:

https://support.kaspersky.ru/ksc-linux/15/228689 (KSC Linux)

Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:

• Измените текущего пользователя на postgres

sudo -i -u postgres

• Запустите интерактивный терминал PostgreSQL и выведите список баз данных сервера

psql

\l # вывод списка баз данных сервера

Создание роли БД и предоставление прав

• В консоли сервера, где установлена БД PostreSQL KSC, измените текущего пользователя на postgres 

sudo -i -u postgres

• Запустите интерактивный терминал PostgreSQL

psql

• Создайте роль пользователя kuma

CREATE USER kuma WITH PASSWORD '<задайте пароль>';

• Подключитесь к БД KSC (см. Раздел "Проверка имени БД KSC". По умолчанию KAV)

\c KAV

• Предоставьте права роли KUMA

GRANT SELECT ON v_akpub_ev_event TO kuma;
GRANT SELECT ON v_akpub_host TO kuma;
GRANT SELECT ON v_akpub_virus_activity TO kuma;
GRANT SELECT ON v_akpub_hst_prdstate TO kuma;
GRANT SELECT ON v_akpub_host_status TO kuma;

Настройка удаленного доступа к БД PostgreSQL и метода аутентификации

• Откройте файл /etc/postgresql/<версия БД PostgreSQL>/main/pg_hba.conf и в секции IPv4 local connections добавьте следующую строку

host   <имя БД,например, KAV>   kuma   <IP-адрес коллектора KUMA>/32   scram-sha-256

• Откройте файл конфигурации /etc/postgresql/<версия БД PostgreSQL>/main/postgresql.conf и в секции CONNECTIONS AND AUTHENTICATION укажите IP-адрес интерфейса сервера БД, на котором будут "прослушиваться" входящие соединения

• После внесения изменений и сохранения файла конфигурации выполните рестарт сервиса PostgreSQL

systemctl restart postgresql

При необходимости разрешите входящие соединения на порт БД PostgreSQL (по умолчанию, TCP/5432) в параметрах локального FW.

---

Создание секрета KUMA

Для подключения к БД PostgreSQL KSC на стороне KUMA необходимо создать строку подключения. Для этого выполните следующие действия:

1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты

2. Выберите секрет [OOTB] KSC PostgreSQL connection и нажмите на кнопку Добавить секретДублировать..

2. Укажите Имя секрета, выберите Тенант, к которому будет относиться создаваемый секрет.

3. ЗадайтеВ секретупоявившемся типокне задайте:

Название секрета URL (формат URL можно взять из urlsОписания ик всекрету). В поле URL укажите:

Имя ранее созданной роли (в нашем примере это kumaукажите) строкуи вида:
ее пароль; IP-адрес или FQDN сервера БД; Наименование БД KSC (по умолчанию KAV. См. sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/KAVПроверка имени БД KSC).

4. Нажмите Сохранить.

Примеры

sqlserver://test.local%5Cuser:password123!@10.0.0.1:1433/KAV
sqlserver://user:password123!@server.demo.lab:1433/KAV

%5C – используется для разделения домена и пользователя и представляет собой знак \ в URL-формате.
Если в пароле пользователя используются спецсимволы их также необходимо перевести в URL формат в соответствии с таблицей ниже.

!	#	$	%	&	'	(	)	*	+
%21	%23	%24	%25	%26	%27	%28	%29	%2A	%2B
,	/	:	;	=	?	@	[	]	\
%2C	%2F	%3A	%3B	%3D	%3F	%40	%5B	%5D	%5C

Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/ пример: 

4. Сохраните созданный секрет.

Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.

---

Настройка коннектора

1. Для подключения к БД MS SQL необходимо настроить коннетор. Для этого выполните следующие действия

2. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.

3.2. В списке коннекторов справа найдите коннектор [OOTB] KSC SQLPostgreSQL и откройтенажмите его для редактирования.Дублировать

Что делать, если ресурс не доступен для редактирования

Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования.3. В такомпоявившемся случаеокне необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.задайте:

Важно!

ПриНазвание копированииконнектора OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

4.

На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный ранее для подключения к БД MSPostgreSQL SQL.
KSC.

5.

4. Нажмите Сохранить.

---

Настройка коллектора

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы →и нажмите КоллекторыПодключить источник.

2. В спискепоявившемся коллекторовокне найдите коллектор с нормализаторомзадайте [OOTB]Название KSC from SQLколлектора и откройте его для редактирования.Тенант

Что делать, если ресурс не доступен для редактирования

Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

3. На шаге Транспорт выберите ранее созданный коннектор [OOTB] KSC SQL

4. На шаге Парсинг событий проверьте, что выбранвыберите нормализатор [OOTB] KSC from SQL.

6.5. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавленызадайте следующие точки назначения:

• Хранилище. Для отправки обработанных событий в хранилище.
• Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

7.6. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8.7. Скопируйте появившуюся команду дляи установкивыполните коллектораустановку KUMA.сервиса коллектора.

---

АльтернативныйПроверка вариантпоступления созданиясобытий коллектораKSC в KUMA

ВДля случае,проверки, есличто предполагаетсяэкспорт использованиесобытий коробочныхиз ресурсовБД безKSC изменений:

успешно

1. В веб-интерфейсе KUMAнастроен, перейдите в раздел Ресурсы -> Активные сервисы ->→ Секреты

выберите

2. Откройте на редактирование секрет [OOTB] KSC MSSQL connection

3. Задайте в секрете строку подключения в соответствии с разделом "Создание секрета KUMA"

4. Сохранитеранее созданный секрет с помощью кнопки "Сохранить"

5. В веб-интерфейсе KUMA перейдите в разделколлектор РесурсыKSC PostgreSQL→ и нажмите КоллекторыПерейти к событиям.

6.

На

В шагеоткрывшемся окне МаршрутизацияСобытия проверьте,убедитесь, что вприсутствуют наборсобытия ресурсов коллектора добавлены следующие точки назначения:

Хранилище. Для отправки обработанных событий в хранилище. Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.KSC.

7. На шаге Проверка параметров нажмите Сохранить и создать сервис.

8. Скопируйте появившуюся команду для установки коллектора KUMA.