KSC PostgreSQL
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка PostgreSQL
Настройки на сервере БД PostgreSQL можно выполнять в консоли (SSH, терминал ОС) или средствами утилиты pgAdmin (требуется установка).
В данной статье сервер БД PostgreSQL работает под управлением ОС Astra Linux, а все настройки выполняются в консоли.
Для удобства в базе данных PostgreSQL Kaspersky Security Center предусмотрен набор публичных представлений. Таким образом можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях. "Коробочный" коннектор KUMA [OOTB] KSC PostgreSQL содержит уже готовые запросы к публичным представлениям v_akpub_ev_event и v_akpub_host.
Коннектор [OOTB] KSC PostgreSQL предназначен только для сбора событий из Kaspersky Security Center (KSC) версии 15.0 c базой данных PostgreSQL.
Проверка имени БД KSC
Чтобы проверить имя базы данных KSC можно воспользоваться следующей статьей:
https://support.kaspersky.ru/ksc-linux/15/228689 (KSC Linux)
Альтернативным вариантом является проверка имени БД в консоли сервера, на котором установлена БД KSC:
- Измените текущего пользователя на postgres
sudo -i -u postgres
- Запустите интерактивный терминал PostgreSQL и выведите список баз данных сервера
psql
\l # вывод списка баз данных сервера
Создание роли БД и предоставление прав
- В консоли сервера, где установлена БД PostreSQL KSC, измените текущего пользователя на postgres
sudo -i -u postgres
- Запустите интерактивный терминал PostgreSQL
psql
- Создайте роль пользователя kuma
CREATE USER kuma WITH PASSWORD '<задайте пароль>';
- Подключитесь к БД KSC (см. Раздел "Проверка имени БД KSC". По умолчанию KAV)
\c KAV
- Предоставьте права роли KUMA
GRANT SELECT ON v_akpub_ev_event TO kuma;
GRANT SELECT ON v_akpub_host TO kuma;
GRANT SELECT ON v_akpub_virus_activity TO kuma;
GRANT SELECT ON v_akpub_hst_prdstate TO kuma;
GRANT SELECT ON v_akpub_host_status TO kuma;
Настройка удаленного доступа к БД PostgreSQL и метода аутентификации
- Откройте файл /etc/postgresql/<версия БД PostgreSQL>/main/pg_hba.conf и в секции IPv4 local connections добавьте следующую строку
host <имя БД,например, KAV> kuma <IP-адрес коллектора KUMA>/32 scram-sha-256
- Откройте файл конфигурации /etc/postgresql/<версия БД PostgreSQL>/main/postgresql.conf и в секции CONNECTIONS AND AUTHENTICATION укажите IP-адрес интерфейса сервера БД, на котором будут "прослушиваться" входящие соединения
- После внесения изменений и сохранения файла конфигурации выполните рестарт сервиса PostgreSQL
systemctl restart postgresql
При необходимости разрешите входящие соединения на порт БД PostgreSQL (по умолчанию, TCP/5432) в параметрах локального FW.
Создание секрета KUMA
Для подключения к БД PostgreSQL KSC на стороне KUMA необходимо создать строку подключения. Для этого выполните следующие действия:
1. В веб-интерфейсе KUMA перейдите на вкладку Ресурсы → Секреты
2. Выберите секрет [OOTB] KSC PostgreSQL connection и нажмите на кнопку Дублиробвавить секрет..
3. В появившемся окне зажидайте:
- Название секрета
, - URL (формат URL можно в
ыберзять итезТенОписант, к которому будет относитьсясоздаваемый се
3. Задайте секрету). тип urls и вВ поле URL укажите:
- Имя ранее с
тозданной роли (в нашем примере это kuma) и ее пароль; - IP-адрес или FQDN сервера БД;
- Наименование БД KSC (по умолчанию KAV. См. Проверк
уавидмени БД KSC).
4. На:
жмите sqlserver://[<domain>%5C]<username>:<password>@<server>:1433/KAVСохранить.
Примеры
sqlserver://test.local%5Cuser:password123!@10.0.0.1:1433/KAV
sqlserver://user:password123!@server.demo.lab:1433/KAV
%5C
– используется для разделения домена и пользователя и представляет собой знак \
в URL-формате.
Если в пароле пользователя используются спецсимволы их также необходимо перевести в URL формат в соответствии с таблицей ниже.
! | # | $ | % | & | ' | ( | ) | * | + |
%21 | %23 | %24 | %25 | %26 | %27 | %28 | %29 | %2A | %2B |
, | / | : | ; | = | ? | @ | [ | ] | \ |
%2C | %2F | %3A | %3B | %3D | %3F | %40 | %5B | %5D | %5C |
Можно использовать следующий ресурс для преобразования https://www.urlencoder.org/ пример:
4. Сохраните созданный секрет.
Обратите внимание, после сохранения секрета поле URL будет пустым во избежание утечки чувствительной информации.
Настройка коннектора
1. Для подключения к БД MS SQL необходимо настроить коннетор. Для этого выполните следующие действия
2. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
3.2. В списке коннекторов справа найдите коннектор [OOTB] KSC SQLPostgreSQL и откройнажмите его дДубля редактирования.
Что делать, если ресурс не доступен для редактирования
Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать
3. В проявившемся окне звести реадакйтирое:
- Название
вкопии эннектогора
Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
4.
KSC.
4. Нажмите Сохранить.
Настройка коллектора
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы →и нажмите КПодкллекючить исторычник.
2. В появившемспя окне задайте Названиске коллекторов найдите коллектор с нормализатором [OOTB] KSC from SQL и откройтТе его для редактировнания.т
Что делать, если ресурс не доступен для редактирования
Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.
Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.
3. На шаге Транспорт выберите ранее созданный коннектор [OOTB] KSC SQL
4. На шаге Парсинг событий проверьте, что выбераните нормализатор [OOTB] KSC from SQL.
6.5. На шаге Маршрутизация проверьзадайте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7.6. На шаге Проверка параметров нажмите Сохранить и создать сервис.
8.7. Скопируйте появившуюся команду ди выполяните установку сервиса коллектора KUMA..
АльтПроверка поступленаия событивный KSC ва KUMA
Для проверкиан, что экспорт созданбытия коллектора
В случае, если предполагается использование коробочных ресурсов безй изм БД KSC успешно настроенений:
1. В веб-интерфейсе KUMA, перейдите в раздел Ресурсы →-> Секреты
2. Откройте на редаАктированиые секрвисы -> выбет [OOTB] KSC MSSQL connection
3. Задайрите в секрете строку подключения в соответствии с разделом "Создание секрета KUMA"
4. Сохранитее созданный секрет с помощью кнопки "Сохранить"
5. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.
6. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавленыKSC следующиеPostgreSQL точки назначения:
Хранилище. Для отправки обработанных событий в хранилище.Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
7. На шаге Проверка параметров нажмите СохПеранейтить ик создабыть сервисям.
В откопируйте появиывшуюемся окне Соманбытия убедитесь, что присутствуют длсобытия установкиKSC.