Skip to main content

KSC PostgreSQL

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка PostgreSQL

Настройки на сервере БД PostgreSQL можно выполнять в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка).

В данной статье сервер БД PostgreSQL работает под управлением ОС Astra Linux, а все настройки выполняются в консоли.

Для удобства в базе данных PostgreSQL Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC PostgreSQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.

Коннектор [OOTB] KSC PostgreSQL предназначен только для сбора событий из Kaspersky Security Center (KSC) версии 15.0 c базой данных PostgreSQL.

Проверка имени БД KSC

Чтобы проверить имя базы данных  KSC можно воспользоваться следующей статьей:

https://support.kaspersky.ru/ksc-linux/15/228689 (KSC Linux)

Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:

  • Измените текущего пользователя на postgres
sudo -i -u postgres
  • Запустите интерактивный терминал PostgreSQL и выведите список баз данных сервера
psql

\l # вывод списка баз данных сервера

image.png

Создание роли БД и предоставление прав

  • В консоли сервера, где установлена БД PostreSQL KSC, измените текущего пользователя на postgres 
sudo -i -u postgres
  • Запустите интерактивный терминал PostgreSQL
psql
  • Создайте роль пользователя kuma
CREATE USER kuma WITH PASSWORD '<задайте пароль>';
  • Подключитесь к БД KSC (см. Раздел "Проверка имени БД KSC". По умолчанию KAV)
\c KAV
  • Предоставьте права роли KUMA
GRANT SELECT ON v_akpub_ev_event TO kuma;
GRANT SELECT ON v_akpub_host TO kuma;
GRANT SELECT ON v_akpub_virus_activity TO kuma;
GRANT SELECT ON v_akpub_hst_prdstate TO kuma;
GRANT SELECT ON v_akpub_host_status TO kuma;

Настройка удаленного доступа к БД PostgreSQL и метода аутентификации

  • Откройте файл /etc/postgresql/<версия БД PostgreSQL>/main/pg_hba.conf и в секции IPv4 local connections добавьте следующую строку
host   <имя БД,например, KAV>   kuma   <IP-адрес коллектора KUMA>/32   scram-sha-256

image.png

  • Откройте файл конфигурации /etc/postgresql/<версия БД PostgreSQL>/main/postgresql.conf и в секции CONNECTIONS AND AUTHENTICATION укажите IP-адрес интерфейса сервера БД, на котором будут "прослушиваться" входящие соединения

image.png

  • После внесения изменений и сохранения файла конфигурации выполните рестарт сервиса PostgreSQL
systemctl restart postgresql

При необходимости разрешите входящие соединения на порт БД PostgreSQL (по умолчанию, TCP/5432) в параметрах локального FW.


Создание секрета KUMA

Для подключения к БД PostgreSQL KSC на стороне KUMA необходимо создать строку подключения. Для этого выполните следующие действия:

1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты

2. Выберите секрет [OOTB] KSC PostgreSQL connection и нажмите на кнопку Дублиробвавить секрет..

2.image.png

У

3. В появившемся окне зажидайте:

Имя
  • Название секрета,
  • URL (формат URL можно выберзять итез ТенОписант, к которому будет относиться создаваемый секрет.

    3. Задайте секрету). тип urls и вВ поле URL укажите:

    • Имя ранее стозданной роли (в нашем примере это kuma) и ее пароль;
    • IP-адрес или FQDN сервера БД;
    • Наименование БД KSC (по умолчанию KAV. См. Проверкуа видмени БД KSC).

image.png

4. На:
жмите sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/KAVСохранить.

Примеры

sqlserver://test.local%5Cuser:password123!@10.0.0.1:1433/KAV
sqlserver://user:password123!@server.demo.lab:1433/KAV

%5C – используется для разделения домена и пользователя и представляет собой знак \ в URL-формате.
Если в пароле пользователя используются спецсимволы их также необходимо перевести в URL формат в соответствии с таблицей ниже.

! # $ % & ' ( ) * +
%21 %23 %24 %25 %26 %27 %28 %29 %2A %2B
, / : ; = ? @ [ ] \
%2C %2F %3A %3B %3D %3F %40 %5B %5D %5C

Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/ пример: image.png

4. Сохраните созданный секрет.

Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.


Настройка коннектора

1. Для подключения к БД MS SQL необходимо настроить коннетор. Для этого выполните следующие действия

2. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коннекторы.

3.2. В списке коннекторов справа найдите коннектор [OOTB] KSC SQLPostgreSQL и откройнажмите его дДубля редактирования.

Что делать, если ресурс не доступен для редактирования

Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать

OOTB-ресурс

image.png

и

3. В проявившемся окне звести реадакйтирое:

  • Название в копии эннектогора
  • ресурса.

    Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

4.

  • На вкладке Основные параметры в выпадающих списках URL выберите секрет, созданный ранее для подключения к БД MSPostgreSQL SQL.
    KSC.
  • image.png

    5.image.png

    4. Нажмите Сохранить.


    Настройка коллектора

    1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы и нажмите КПодкллекючить исторычник.

    2. В появившемспя окне задайте Названиске коллекторов найдите коллектор с нормализатором [OOTB] KSC from SQL и откройтТе его для редактировнания.т

    Что делать, если ресурс не доступен для редактирования

    Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

    Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.

    3. На шаге Транспорт выберите ранее созданный коннектор [OOTB] KSC SQL

    4. На шаге Парсинг событий проверьте, что выбераните нормализатор [OOTB] KSC from SQL.

    6.5. На шаге Маршрутизация проверьзадайте, что в набор ресурсов коллектора добавлены следующие точки назначения:

    • Хранилище. Для отправки обработанных событий в хранилище.
    • Коррелятор. Для отправки обработанных событий в коррелятор.

    Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

    7.6. На шаге Проверка параметров нажмите Сохранить и создать сервис.

    8.7. Скопируйте появившуюся команду ди выполяните установку сервиса коллектора KUMA..


    АльтПроверка поступленаия событивный KSC ва KUMA

    Для проверкиан, что экспорт созданбытия коллектора

    В случае, если предполагается использование коробочных ресурсов безй изм БД KSC успешно настроенений:

    1. В веб-интерфейсе KUMA, перейдите в раздел Ресурсы -> Секреты

    2. Откройте на редаАктированиые секрвисы -> выбет [OOTB] KSC MSSQL connection

    3. Задайрите в секрете строку подключения в соответствии с разделом "Создание секрета KUMA"

    4. Сохранитее созданный секрет с помощью кнопки "Сохранить"

    5. В веб-интерфейсе KUMA перейдите в раздел Ресурсы Коллекторы.

    6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавленыKSC следующиеPostgreSQL точки назначения:

    • Хранилище. Для отправки обработанных событий в хранилище.
    • Коррелятор. Для отправки обработанных событий в коррелятор.

    Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

    7. На шаге Проверка параметров нажмите СохПеранейтить ик создабыть сервисям.

    8.image.png

    С

    В откопируйте появиывшуюемся окне Соманбытия убедитесь, что присутствуют длсобытия установкиKSC.

    коллектора KUMA.

    image.png