KSC MS SQL
✔️ Рекомендуется - Рекомендуемый способ сбора для этого источника событий
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/3.4/ru-RU/245386.htm
SQL Server должен поддерживать TLS 1.2 - дополнительную информацию можно изучить тут: https://support.microsoft.com/en-us/help/3135244/tls-1-2-support-for-microsoft-sql-server
Для отключения защищенного подключения к БД можно воспользоваться следующей опцией в коннекторе: sqlserver://user:password@server:port?database=DBName&encrypt=disable
Настройка БД MS SQL
Для сбора событий из БД MS SQL необходимо создать учетную запись с соответствующеми правами. Для этого выполните следующие действия:
1. Перейдите на сервер, где установлена БД MS SQL для KSC. С помощью Microsoft SQL Server Management Studio подключитесь к БД из-под учетной записи, обладающей правами администратора в БД.
2. Перейдите в соответствующий экземпляр БД MS SQL на вкладку Security и для вкладки Logins выберите New Login...
3. Добавьте учетную запись пользователя, с помощью которой будет осуществляться доступ к БД KSC
4. Установите для учетной записи БД KSC в качестве БД по умолчанию (по умолчанию в KSC используется БД KAV).
5. Настройте учетной записи права db_datareader и public для БД KSC в соответствии с изображением ниже.
6. Убедитесь, что созданной учетной записи разрешено подключение к БД.
Для проверки прав созданной учетной записи можно запустить Microsoft SQL Management Studio от имени созданного пользователя (с зажатым Shift нажать ПКМ и выбрать Запуск от имени другого пользователя). Затем перейти в любую таблицу БД KSC и сделать выборку по этой таблице.
Настройка SQL Server Browser
Для подключения к серверу MS SQL для сбора событий необходимо настроить соответствующую службу и разрешить входящие подключения. Для этого выполните следующие действия:
1. Откройте оснастку SQL Server Configuration Manager. Запустите службу SQL Server Browser и задайте автоматический запуск службы.
2. Включите TCP/IP протокол для соответствующего экземпляра БД.
3. В свойствах протокола, на вкладке IP Addresses для поля IPALL в TCP Port укажите значение 1433.
4. Перезапустите службу экземпляра SQL сервера.
5. Разрешите на сервере входящие подключения по порту 1433. Это можно сделать в оснастке Брандмауэр защитника Windows в режиме повышенной безопасности.
Создание секрета KUMA
Для подключения к БД MS SQL со стороны KUMA необходимо создать строку подключения. Для этого выполните следующие действия:
1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты. Отобразится список доступных секретов.
2. Нажмите на кнопку Добавить секрет, чтобы создать новый секрет. Откроется окно секрета.
3. Введите данные секрета:
· В поле Название укажите имя для добавляемого секрета.
· В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
· В раскрывающемся списке Тип выберите credentials.
· В поле Пользователь укажите имя созданной ранее учетной записи (для доменной учетной записи используйте формат: домен\имя учетной записи)
· В поле Пароль укажите пароль учетной записи
· Нажмите Создать.
|
Из соображений безопасности после сохранения секрета строки, указанные в полях Пользователь и Пароль, скрываются. |
Настройка коннектора
Для подключения KUMA к БД MS SQL требуется настроить коннектор. Чтобы настроить коннектор выполните следующие действия:
1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
2. В списке коннекторов справа выберите коннектор [OOTB] KSC MSSQL и нажмите Дублировать.
3. В появившемся окне Создание коннектора укажите:
· Название коннектора
· В секции Соединение:
· Тип базы данных – MSSQL
· Секрет отдельно - активировать
· URL – sqlserver:// <IP-адрес/FQDN сервера БД KSC>:1433/<имя БД, по умолчанию KAV>
|
Пример: sqlserver:// ksc.example.com:1433/KAV |
· Секрет – секрет, созданный на предыдущем шаге
· Тип базы данных – MSSQL
· Секрет отдельно - активировать
· URL – sqlserver:// <IP-адрес/FQDN сервера БД KSC>:1433/<имя БД, по умолчанию KAV>
|
Пример: sqlserver:// ksc.example.com:1433/KAV |
· Секрет – секрет, созданный на предыдущем шаге
· Начальное значение идентификатора - <текущий год>-01-01T00:00:00.000 (например, 2025-01-01T00:00:00.000)
4. Нажмите Создать.
Настройка коллектора
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий Kaspersky Security Center из MS SQL.
1. Для создания коллектора в веб-интерфейсе KUMA перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник.
2. В появившемся окне мастера настройки Создание коллектора на первом шаге (Подключение источников) выберите Имя коллектора и Тенант, к которому будет принадлежать создаваемый коллектор.
3. На втором шаге мастера (Транспорт) укажите ранее созданный коннектор для подключения к БД MSSQL.
4. На третьем шаге мастера укажите нормализатор. В данном случае рекомендуется использовать «коробочный» нормализатор [OOTB] KSC from SQL.
5. Шаги мастера настройки с четвертого по шестой являются опциональными, их можно пропустить и вернуться к настройке позднее.
6. На седьмом шаге мастера задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор.
7. На завершающем шаге мастера нажмите на кнопку Создать и сохранить сервис. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки.
8. Нажмите Сохранить.
9. После выполнения вышеуказанных действий в разделе Ресурсы → Активные сервисы появится созданный сервис коллектора.
Установка коллектора KUMA
1. Выполните подключение к CLI сервера коллектора KUMA.
2. Для установки сервиса коллектора в командной строке выполните команду под учетной записью root, скопированную на прошлом шаге.
3. После успешной установки сервиса его статус в веб-консоли KUMA изменится на ВКЛ с зеленой индикацией.
Проверка поступления событий KSC в KUMA
1. Для проверки, что сбор событий KSC из БД MSSQL успешно настроен перейдите в Ресурсы → Активные сервисы → выберите ранее созданный коллектор для KSC MSSQL и нажмите Перейти к событиям.
2. В открывшемся окне События убедитесь, что присутствуют события KSC.
No comments to display
No comments to display