Решения Endpoint Security

При работе по подключению решений Endpoint Security в качестве источника событий в Платформу Радар вам может пригодиться следующая справочная информация:

• Управление источниками в Платформе;
• Руководство по настройке лог-коллектора.

ESET Security Management Center

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	ESET-Security-Management-Center
Номер (Порт)	2609
Вендор	ESET
Тип	SMC
Профиль сбора	tcp_input

Для настройки источника выполните следующие действия:

1. Войдите в веб-интерфейс системы ESET Protect (см. рисунок 1).

   

   Рисунок 1 -- Вход в систему ESET Protect

2. Перейдите в настройки системы и откройте Advanced settings (см. рисунок 2).

   

   Рисунок 2 -- Вход в систему ESET Protect

3. В блоке SYSLOG SERVER (см. рисунок 3) укажите следующие настройки:

   

   Рисунок 3 -- Настройка SYSLOG SERVER

   • в поле Use Syslog server установите переключатель в положение "включен";
   • в поле Host укажите IP-адрес агента сбора лог-коллектора;
   • в поле Формат выберите значение "Syslog";
   • в поле Transport выберите протокол взаимодействия: "TCP".

4. В блоке LOGGING (см. рисунок 4) укажите следующие настройки:

   

   Рисунок 4 -- Настройка LOGGING

   • в поле Trace log verbosity из выпадающего списка выберите уровень детализации журналов: "Information";
   • в поле Export logs to Syslog включите экспорт журналов в формате syslog;
   • в поле Export logs format из выпадающего списка выберите значение "CEF".

5. Нажмите кнопку SAVE.

6. Включите источник ESET-Security-Management-Center.

FireEye HX

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	FireEye-HX
Номер (Порт)	4560
Вендор	FireEye
Тип	HX
Профиль сбора	udp_input

Для настройки источника выполните следующие действия:

1. Подключитесь к устройству FireEye HX с помощью интерфейса командной строки.

2. Активируйте режим конфигурации:

   # enable
   # configure terminal
   

3. Настройте отправку событий на агент сбора лог-коллектора:

   # logging <IP_address агента сбора лог-коллектора> trap none
   # logging <IP_address агента сбора лог-коллектора> trap override class cef priority info
   

4. Сохраните изменения:

   # write mem
   

5. Включите источник FireEye-HX.

Kaspersky Security Center. Общая информация

В Kaspersky Security Center существуют следующие типы событий:

• Общие события - это события, которые возникают во всех управляемых программах "Лаборатории Касперского". Например, общее событие Вирусная атака. Общие события имеют строго определенный синтаксис и семантику. Общие события используются, например, в отчетах и панели мониторинга;
• Специфические события управляемых программ "Лаборатории Касперского". Каждая управляемая программа "Лаборатории Касперского" имеет собственный набор событий.

В зависимости от условий возникновения, событию могут быть присвоены различные уровни важности. Существует четыре уровня важности событий:

• Критическое событие – событие, указывающее на возникновение критической проблемы, которая может привести к потере данных, сбою в работе или критической ошибке;
• Отказ функционирования – событие, указывающее на возникновение серьезной проблемы, ошибки или сбоя, произошедшего во время работы программы или выполнения процедуры;
• Предупреждение – событие, не обязательно являющееся серьезным, однако указывающее на возможное возникновение проблемы в будущем. Чаще всего события относятся к Предупреждениям, если после их возникновения работа программы может быть восстановлена без потери данных или функциональных возможностей;
• Информационное сообщение – событие, возникающее с целью информирования об успешном выполнении операции, корректной работе программы или завершении процедуры.

Для каждого события задано время хранения, которое можно посмотреть и изменить в Kaspersky Security Center. Некоторые события не сохраняются в базе данных "Сервера администрирования" по умолчанию, поскольку для них установленное время хранения равно нулю. Во внешние системы можно экспортировать только те события, которые хранятся в базе данных "Сервера администрирования" не менее одного дня.

Kaspersky Security Center. Отправка событий в формате syslog

Только общие события могут быть экспортированы от управляемых программ в форматах CEF и LEEF. Если необходимо экспортировать и общие и специфические события управляемых программ или пользовательский набор событий, который настроен с помощью политик управляемых программ, используйте экспорт событий в формате syslog.

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Kaspersky-Security-Center-syslog
Номер (Порт)	2605
Вендор	Kaspersky
Тип	KSC
Профиль сбора	udp_input

Настройка источника включает в себя следующие шаги:

1. Настройка автоматического экспорта событий.
2. Настройка событий для отправки в Платформу Радар.
3. Включение источника в платформе.

Шаг 1. Настройка автоматического экспорта событий

Чтобы включить автоматический экспорт общих событий выполните следующие действия:

1. Войдите в Kaspersky Security Center и перейдите в раздел <Наименование Сервера администрирования>, события которого необходимо экспортировать.
2. В рабочей области выбранного "Сервера администрирования" перейдите на вкладку События.
3. Нажмите на кнопку Настроить параметры уведомлений и экспорта событий и в выпадающем списке выберите пункт Настроить экспорт в SIEM-систему. Откроется окно "Свойства событий".
4. В открывшемся окне перейдите в раздел Экспорт событий и укажите следующие параметры экспорта:
   • включите автоматический экспорт событий в базу SIEM-системы, установив соответствующий флаг;
   • в поле SIEM-система выберите значение: "Формат Syslog (RFC 5424)";
   • в поле Адрес сервера SIEM-системы укажите IP-адрес агента сбора лог-коллектора;
   • в поле Протокол из выпадающего списка выберите протокол взаимодействия: "UDP";
   • в поле Максимальный размер сообщения в байтах укажите значение: "2048".
5. Нажмите на кнопку ОК.

Если требуется выполнить экспорт в Платформу Радар событий, произошедших после определенной даты, нажмите на кнопку Экспортировать архив и укажите дату, начиная с которой будет выполнен экспорт событий. По умолчанию экспорт событий начинается сразу после включения.

Шаг 2. Выбор событий для отправки в Платформу Радар

Вы можете настроить экспорт событий в формате syslog в Платформу Радар на основе одного из следующих условий:

• Выбор общих событий. Если вы выберите экспортируемые события в политике (в свойствах события или в свойствах "Сервера администрирования"), то в Платформу Радар будут переданы выбранные события, которые произошли во всех программах, управляемых данной политикой, но вам не удастся их переопределить для отдельной программы, управляемой этой политикой.
• Выбор событий для управляемой программы. Если вы выбираете экспортируемые события для управляемой программы, установленной на управляемых устройствах, то в Платформу Радар будут переданы только события, которые произошли в этой программе.

Выбор событий для управляемой программы:

1. Войдите в Kaspersky Security Center, перейдите в раздел Управляемые устройства и откройте вкладку Устройства.
2. Выберите устройство, вызовите контекстное меню и выберите пункт Свойства.
3. В открывшемся окне "Свойства устройства" выберите вкладку Программы.
4. В списке программ выберите программу, события которой требуется экспортировать и нажмите на кнопку Свойства.
5. В открывшемся окне "Свойства программы" выберите раздел Настройка событий.
6. В появившемся списке событий выберите одно или несколько событий, которые требуется экспортировать в Платформу Радар и нажмите на кнопку Свойства.
7. В открывшемся окне "Свойства событий" выполните следующие действия:
   • выберите параметр Экспортировать в SIEM-систему по протоколу Syslog для тех событий, которые нужно экспортировать в формате syslog;
   • выключите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отменить выбор событий для экспорта в формате syslog;
   • нажмите на кнопку ОК.
8. Нажмите на кнопку ОК в окне свойств программы и в окне свойств устройства.

Выбор общих событий:

1. Войдите в Kaspersky Security Center и перейдите в раздел Политики.
2. Выберите политику, откройте контекстное меню и выберите пункт Свойства.
3. В открывшемся окне "Свойства политики" выберите раздел Настройка событий.
4. В списке событий выберите одно или несколько событий, которые требуется экспортировать в Платформу Радар, и нажмите на кнопку Свойства.
5. В открывшемся окне "Свойства событий" выполните следующие действия:
   • выберите параметр Экспортировать в SIEM-систему по протоколу Syslog для тех событий, которые нужно экспортировать в формате syslog;
   • снимите флажок Экспортировать в SIEM-систему по протоколу Syslog, чтобы отменить выбор событий для экспорта в формате syslog;
   • нажмите на кнопку ОК.
6. В окне свойств политики нажмите на кнопку ОК.

Шаг 3. Включите источник Kaspersky-Security-Center-syslog.

Kaspersky Security Center. Отправка событий через Microsoft SQL Server

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Kaspersky-SecurityCenter-db
Номер (Порт)	2604
Вендор	Kaspersky
Тип	KSC-db
Профиль сбора	odbc_input

Настройка источника включает в себя следующие шаги:

1. Создание учетной записи Microsoft SQL Server.
2. Предоставление доступа к БД KAV.
3. Предоставление удаленного сетевого доступа.
4. Настройка профиля сбора.
5. Включение источника в платформе.

Шаг 1. Создание учетной записи Microsoft SQL Server

Примечание: создание учетной записи Microsoft SQL Server необходимо выполнять от имени учетной записи, имеющей права локального администратора ОС Windows.

1. Откройте среду разработки MS SQL Management Studio.

2. В окне "Connect to Server" подключитесь к экземпляру необходимой базы данных с правами администратора (см. рисунок 5).

   

   Рисунок 5 -- Подключение к экземпляру БД

3. Откройте окно "Object Explorer" (см. рисунок 6).

   

   Рисунок 6 -- Окно "Object Explorer"

4. Выберите раздел Logins, вызовите контекстное меню и выберите пункт New Login.... Откроется окно "Login--New" (см. рисунок 7).

   

   Рисунок 7 -- Создание нового пользователя экземпляра БД

5. В открывшемся окне перейдите в раздел General и выполните следующие настройки:

   • включите режим SQL Server authentication;
   • в поле Login name укажите имя пользователя "radaruser";
   • в полях Password и Confirm password установите и подтвердите пароль пользователя;
   • при необходимости включите использование политики паролей и задайте срок окончания действия пароля в полях Enforce password policy и Enforce password expiration;
   • в поле Default database выберите значение "KAV".

6. Перейдите в раздел Server Roles и предоставьте пользователю роль public (см. рисунок 8).

   

   Рисунок 8 -- Предоставление роли пользователю

7. Перейдите в раздел User Mapping (см. рисунок 9) и выполните следующие настройки:

   

   Рисунок 9 -- Настройка прав доступа к БД KAV

   • В блоке User mapped to this login предоставьте разрешение на подключение и чтение к БД KAV.
   • В блоке Database role membership for: <имя БД> установите для выбранной БД роль "db_datareader".

8. Перейдите в раздел Securables (см. рисунок 10) и в блоке Permission for: <имя сервера СУБД> установите следующее разрешение: "Connect SQL - Grant".

   

   Рисунок 10 -- Установка разрешения на подключение к БД

9. Нажмите кнопку ОК.

Шаг 2. Предоставление доступа к БД KAV

Для предоставления доступа к БД KAV выполните следующие действия:

1. Войдите в среду разработки MS SQL Management Studio, откройте окно "Object Explorer" и выберите раздел Databases → KAV → Security → Users (см. рисунок 11):

   

   Рисунок 11 -- Функция создания пользователя в БД KAV

2. Вызовите контекстное меню и выберите пункт New User.... Откроется окно создания нового пользователя в БД KAV (см. рисунок 12).

   

   Рисунок 12 -- Регистрация пользователя в БД KAV

3. В открывшемся окне перейдите в раздел General и установите следующие параметры (см. рисунок 12):

   • в поле User name установите имя пользователя "dbuser";
   • в поле Login name выберите пользователя "radaruser".

4. Перейдите в раздел Membership и установите для пользователя роль "db_datareader" (см. рисунок 13).

   

   Рисунок 13 -- Назначение роли

5. Нажмите кнопку ОК.

Шаг 3. Предоставление удаленного сетевого доступа

1. Откройте диспетчер конфигурации SQL Server Configuration Manager.

2. Выберите службу SQL Server Network Configuration → Protocols for SQLEXPRESS (см. рисунок 14).

   

   Рисунок 14 -- Подключение по протоколу TCP/IP

3. В списке протоколов выберите протокол TCP/IP, вызовите контекстное меню и установите статус "Enabled" . Затем из контекстного меню выберите пункт Properties. Откроется окно "TCP/IP Properties" (см. рисунок 15).

   

   Рисунок 15 -- Пример настройки протокола для удаленного доступа к БД

4. В открывшемся окне перейдите на вкладку IP Adresses и в блоке параметров IPAll укажите TCP порт для данного источника: "1433".

5. Нажмите кнопку OK.

6. Перезапустите службу MS SQL Server:

   • запустите управление службами (см. рисунок 16);

     

     Рисунок 16 -- Перезапуск службы MS SQL Server

   • выберите службу SQL Server c запущенным экземпляром БД (SQLEXPRESS) и нажмите кнопку Перезапустить службу.

Шаг 4. Настройте профиль сбора для данного источника

Для настройки профиля сбора выполните следующие действия:

1. Начните процесс настройки профиля сбора для источника 2604 Kaspersky Security Center Database и выберите модуль odbc_input (см. рисунок 17):

   

   Рисунок 17 -- Создание профиля сбора. Модуль "odbc_input"

2. В поле SQL запрос укажите запрос, которым будут запрашиваться события из базы данных KSC. Пример запроса:

   SELECT
     events.event_id AS event_id,
     events.nHostId AS host_id,
     events.severity AS severity,
     events.group_name AS group_name, event_type,
     events.event_type_display_name AS event_name,
     FORMAT(events.rise_time AT TIME ZONE 'UTC', 'yyyy-MM-ddTHH:mm:ss.ffffffzzz') AS event_time,
     events.descr AS description,
     events.task_display_name AS task_name,
     events.task_id AS task_id,
     events.product_displ_version AS product_version,
     events.par1,
     events.par2,
     events.par3,
     events.par4,
     events.par5,
     events.par6,
     events.par7,
     events.par8,
     events.par9,
     events.product_name,
     hosts_view.strDisplayName AS hostname,
     dnsdomains.strName AS domain,
     fqdns.wstrfqdn AS fqdn,
     CAST(((hosts.nIpAddress / 16777216) & 255) AS varchar(4)) + '.' +
     CAST(((hosts.nIpAddress / 65536) & 255) AS varchar(4)) + '.' +
     CAST(((hosts.nIpAddress / 256) & 255) AS varchar(4)) + '.' +
     CAST(((hosts.nIpAddress) & 255) AS varchar(4)) AS ip_address,
     hosts_view.nPlatformType AS platform_id,
     hosts_view.tmLastInfoUpdate AS last_update,
     hosts_view.nVirusCount AS virus_count
   FROM KAV.dbo.ev_event AS events
   JOIN KAV.dbo.Hosts AS hosts ON hosts.nId = events.nHostId
   JOIN KAV.dbo.v_hosts AS hosts_view ON hosts_view.nId = hosts.nId
   JOIN KAV.dbo.v_hst_fqdns AS fqdns ON fqdns.nId = hosts.nId
   RIGHT JOIN KAV.dbo.DnsDomains AS dnsdomains ON dnsdomains.nId = hosts.nDnsDomain
   WHERE events.event_type IN (
       'FSEE_AKPLUGIN_AVDB_TOTALY_EXPIRED',  
       'FSEE_AKPLUGIN_CRITICAL_PATCHES_AVAILABLE',  
       'FSEE_AKPLUGIN_LICENSE_ERROR',  
       'FSEE_AKPLUGIN_OBJECT_BACKED_UP',  
       'FSEE_AKPLUGIN_OBJECT_FOUND',  
       'FSEE_AKPLUGIN_OBJECT_NOT_DELETED',  
       'FSEE_AKPLUGIN_OBJECT_NOT_ISOLATED',  
       'FSEE_AKPLUGIN_OBJECT_NOT_PROCESSED',  
       'FSEE_AKPLUGIN_PEP_APPLICATION_AUDIT_DENIED',  
       'FSEE_AKPLUGIN_TASK_LICENSE_ERROR',  
       'FSEE_AKPLUGIN_UPDATE_ERROR',  
       'GNRL_EV_ANTIVIRAL_BASES_EXPIRED',  
       'GNRL_EV_APP_LAUNCH_TESTED_DENIED',  
       'GNRL_EV_APPLICATION_LAUNCH_DENIED',  
       'GNRL_EV_APPLICATION_WAS_RESTARTED',  
       'GNRL_EV_ATTACK_DETECTED',  
       'GNRL_EV_DEVCTRL_DEV_PLUGGED',  
       'GNRL_EV_DEVCTRL_DEV_UNPLUGGED',  
       'GNRL_EV_FULLSCAN_STATUS_NOTIFICATION',  
       'GNRL_EV_INTERNAL_ERROR',  
       'GNRL_EV_LICENSE_EXPIRATION',  
       'GNRL_EV_OBJECT_BLOCKED',  
       'GNRL_EV_OBJECT_CURED',  
       'GNRL_EV_OBJECT_DELETED',  
       'GNRL_EV_OBJECT_NOTCURED',  
       'GNRL_EV_OBJECT_QUARANTINED',  
       'GNRL_EV_OBJECT_REPORTED',  
       'GNRL_EV_PASSWD_ARCHIVE_FOUND',  
       'GNRL_EV_PTOTECTION_LEVEL_CHANGED',  
       'GNRL_EV_SUSPICIOUS_OBJECT_FOUND',  
       'GNRL_EV_VIRUS_FOUND',  
       'GNRL_EV_VIRUS_FOUND_AND_BLOCKED',  
       'GNRL_EV_VIRUS_FOUND_BY_KSN',  
       'GNRL_EV_VIRUS_OUTBREAK',  
       'KLAUD_EV_ADMGROUP_CHANGED',  
       'KLAUD_EV_OBJECTMODIFY',  
       'KLAUD_EV_SERVERCONNECT',  
       'KLAUD_EV_SERVERDISCONNECT',  
       'KLAUD_EV_SIEM_TEST_FAILED',  
       'KLAUD_EV_TASK_STATE_CHANGED',  
       'KLEVP_GroupTaskSyncState',  
       'KLNAG_EV_DEVICE_ARRIVAL',  
       'KLNAG_EV_DEVICE_REMOVE',  
       'KLNAG_EV_INV_APP_INSTALLED',  
       'KLNAG_EV_INV_APP_UNINSTALLED',  
       'KLNAG_EV_INV_CMPTR_APP_INSTALLED',  
       'KLPRCI_TaskState',  
       'KLSRV_DATABASE_UNAVAILABLE',  
       'KLSRV_DISK_FULL',  
       'KLSRV_EV_LICENSE_SRV_EXPIRE_SOON',  
       'KLSRV_EV_LICENSE_SRV_LIMITED_MODE',  
       'KLSRV_EV_MASTER_SRV_CONNECTED',  
       'KLSRV_EV_MASTER_SRV_DISCONNECTED',  
       'KLSRV_EVENT_HOSTS_CONFLICT',  
       'KLSRV_EVENT_HOSTS_NEW_DETECTED',  
       'KLSRV_EVENT_HOSTS_NOT_VISIBLE',  
       'KLSRV_HOST_MOVED_WITH_RULE_EX',  
       'KLSRV_HOST_STATUS_CRITICAL',  
       'KLSRV_HOST_STATUS_WARNING',  
       'KLSRV_INVISIBLE_HOSTS_REMOVED',  
       'KLSRV_NO_SPACE_ON_VOLUMES',  
       'KLSRV_RUNTIME_ERROR',  
       'KLSRV_SEAMLESS_UPDATE_REGISTERED',  
       'KLSRV_UPD_BASES_UPDATED',  
       'KSNPROXY_STARTED_CON_CHK_FAILED',  
       'KSNPROXY_STARTED_CON_CHK_OK',  
       'KSNPROXY_STOPPED',  
       'KSWS_OBJECT_DELETED_ONREBOOT',  
       'ServerCertificateRenewed',  
       '000000cc',  
       '000000cf',  
       '000000d1',  
       '000000d2',  
       '000000d3',  
       '000000d4',  
       '000000d5',  
       '000000d6',  
       '000000d8',  
       '000000d9',  
       '000000da',  
       '000000db',  
       '000000dc',  
       '000000dd',  
       '000000de',  
       '000000df',  
       '000000fc',  
       '0000012f',  
       '00000134',  
       '00000136',  
       '0000013a',  
       '00000141',  
       '0000014d',  
       '0000014e',  
       '0000014f',  
       '00000150',  
       '00000191',  
       '00000192',  
       '00000193',  
       '000001c4',  
       '000001c7',  
       '000002c3',  
       '000002c4',  
       '00000321',  
       '000003a3',  
       '000003e9',  
       '000003fa',  
       '0000051e',  
       '000007d0',  
       '000007d4',  
       '000007e4',  
       '000007e5',  
       '000007e6',  
       '000007e7'
   )
   AND event_id > ?;
   

3. В поле Поле, которое будет использоваться как закладка для сохранения позиции укажите значение event_id, оно используется для сохранения позиции вычитки между запросами.

4. В блоке Данные для подключения (см. рисунок 18) выполните следующие настройки:

   

   Рисунок 18 -- Создание профиля сбора. Модуль "odbc_input". Блок "Данные для подключения"

   • в поле Драйвер для подключения выберите значение ODBC Driver 17 for SQL Server;
   • остальные поля заполните соответствующими сетевыми и учетными данными для подключения.

5. Сохраните профиль сбора.

Шаг 5. Включите источник Kaspersky-SecurityCenter-db.

Kaspersky Security Center. Отправка событий через MariaDB

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Kaspersky-SecurityCenter-db
Номер (Порт)	2604
Вендор	Kaspersky
Тип	KSC-db
Профиль сбора	odbc_input

Для подключения в качестве источника Kaspersky Security Center, работающего на базе данных MariaDB, выполните следующие действия:

1. Войдите в CMD MariaDB (см. рисунок 19).

   

   Рисунок 19 -- CMD MariaDB.

2. Создайте пользователя с правами удаленного подключения:

   CREATE USER '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';
   

3. Выдайте права на чтение таблиц в базе Kaspersky Security Center:

   GRANT SELECT ON KAV.ev_event TO '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';  
   GRANT SELECT ON KAV.dnsdomains TO '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';  
   GRANT SELECT ON KAV.v_hst_fqdns TO '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';  
   GRANT SELECT ON KAV.hosts TO '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';  
   GRANT SELECT ON KAV.v_hosts TO '<имя пользователя>'@'<ip-адрес агента сбора лог-коллектора>' IDENTIFIED BY '<Пароль Пользователя>';
   

4. Запустите веб-интерфейс Платформы Радар и выполните следующие действия:

   • перейдите в раздел Администрирование → Кластер → Узлы и перейдите к настройкам узла, на котором расположен агент сбора лог-коллектора;
   • в разделе Секреты Агента добавьте два секрета:
     • для "Имени пользователя" укажите в соответствующих полях "Название секрета" и "Значение секрета";
     • для "Пароля пользователя" укажите в соответствующих полях "Название секрета" и "Значение секрета".

5. Начните процесс настройки профиля сбора для источника 2604 Kaspersky Security Center Database и выберите модуль odbc_input (см. рисунок 20):

   

   Рисунок 20 -- Создание профиля сбора. Модуль "odbc_input"

6. В поле SQL запрос укажите запрос, которым будут запрашиваться события из базы данных KSC. Пример запроса:

   SELECT
     events.event_id AS event_id,
     events.nHostId AS host_id,
     events.severity AS severity,
     events.group_name AS group_name, event_type,
     events.event_type_display_name AS event_name,
     DATE_FORMAT(CONVERT_TZ(events.rise_time, @@session.time_zone, '+00:00'),'%Y-%m-%dT%H:%i:%s.%fZ') AS event_time,
     events.descr AS description,
     events.task_display_name AS task_name,
     events.task_id AS task_id,
     events.product_displ_version AS product_version,
     events.par1,
     events.par2,
     events.par3,
     events.par4,
     events.par5,
     events.par6,
     events.par7,
     events.par8,
     events.par9,
     events.product_name,
     hosts_view.strDisplayName AS hostname,
     dnsdomains.strName AS domain,
     fqdns.wstrfqdn AS fqdn,
     CONCAT(CAST(((hosts.nIpAddress DIV 16777216) & 255) AS CHAR),
     '.',
     CAST(((hosts.nIpAddress DIV 65536) & 255) AS CHAR),
     '.',
     CAST(((hosts.nIpAddress DIV 256) & 255) AS CHAR),
     '.',
     CAST((hosts.nIpAddress & 255) AS CHAR)
     ) AS ip_address,
     hosts_view.nPlatformType AS platform_id,
     hosts_view.tmLastInfoUpdate AS last_update,
     hosts_view.nVirusCount AS virus_count
   FROM `KAV`.`ev_event` AS events
   JOIN `KAV`.`Hosts` AS hosts ON hosts.nId = events.nHostId
   JOIN `KAV`.`v_hosts` AS hosts_view ON hosts_view.nId = hosts.nId
   JOIN `KAV`.`v_hst_fqdns` AS fqdns ON fqdns.nId = hosts.nId
   RIGHT JOIN `KAV`.`DnsDomains` AS dnsdomains ON dnsdomains.nId = hosts.nDnsDomain
   WHERE events.event_type IN (
       'FSEE_AKPLUGIN_AVDB_TOTALY_EXPIRED',  
       'FSEE_AKPLUGIN_CRITICAL_PATCHES_AVAILABLE',  
       'FSEE_AKPLUGIN_LICENSE_ERROR',  
       'FSEE_AKPLUGIN_OBJECT_BACKED_UP',  
       'FSEE_AKPLUGIN_OBJECT_FOUND',  
       'FSEE_AKPLUGIN_OBJECT_NOT_DELETED',  
       'FSEE_AKPLUGIN_OBJECT_NOT_ISOLATED',  
       'FSEE_AKPLUGIN_OBJECT_NOT_PROCESSED',  
       'FSEE_AKPLUGIN_PEP_APPLICATION_AUDIT_DENIED',  
       'FSEE_AKPLUGIN_TASK_LICENSE_ERROR',  
       'FSEE_AKPLUGIN_UPDATE_ERROR',  
       'GNRL_EV_ANTIVIRAL_BASES_EXPIRED',  
       'GNRL_EV_APP_LAUNCH_TESTED_DENIED',  
       'GNRL_EV_APPLICATION_LAUNCH_DENIED',  
       'GNRL_EV_APPLICATION_WAS_RESTARTED',  
       'GNRL_EV_ATTACK_DETECTED',  
       'GNRL_EV_DEVCTRL_DEV_PLUGGED',  
       'GNRL_EV_DEVCTRL_DEV_UNPLUGGED',  
       'GNRL_EV_FULLSCAN_STATUS_NOTIFICATION',  
       'GNRL_EV_INTERNAL_ERROR',  
       'GNRL_EV_LICENSE_EXPIRATION',  
       'GNRL_EV_OBJECT_BLOCKED',  
       'GNRL_EV_OBJECT_CURED',  
       'GNRL_EV_OBJECT_DELETED',  
       'GNRL_EV_OBJECT_NOTCURED',  
       'GNRL_EV_OBJECT_QUARANTINED',  
       'GNRL_EV_OBJECT_REPORTED',  
       'GNRL_EV_PASSWD_ARCHIVE_FOUND',  
       'GNRL_EV_PTOTECTION_LEVEL_CHANGED',  
       'GNRL_EV_SUSPICIOUS_OBJECT_FOUND',  
       'GNRL_EV_VIRUS_FOUND',  
       'GNRL_EV_VIRUS_FOUND_AND_BLOCKED',  
       'GNRL_EV_VIRUS_FOUND_BY_KSN',  
       'GNRL_EV_VIRUS_OUTBREAK',  
       'KLAUD_EV_ADMGROUP_CHANGED',  
       'KLAUD_EV_OBJECTMODIFY',  
       'KLAUD_EV_SERVERCONNECT',  
       'KLAUD_EV_SERVERDISCONNECT',  
       'KLAUD_EV_SIEM_TEST_FAILED',  
       'KLAUD_EV_TASK_STATE_CHANGED',  
       'KLEVP_GroupTaskSyncState',  
       'KLNAG_EV_DEVICE_ARRIVAL',  
       'KLNAG_EV_DEVICE_REMOVE',  
       'KLNAG_EV_INV_APP_INSTALLED',  
       'KLNAG_EV_INV_APP_UNINSTALLED',  
       'KLNAG_EV_INV_CMPTR_APP_INSTALLED',  
       'KLPRCI_TaskState',  
       'KLSRV_DATABASE_UNAVAILABLE',  
       'KLSRV_DISK_FULL',  
       'KLSRV_EV_LICENSE_SRV_EXPIRE_SOON',  
       'KLSRV_EV_LICENSE_SRV_LIMITED_MODE',  
       'KLSRV_EV_MASTER_SRV_CONNECTED',  
       'KLSRV_EV_MASTER_SRV_DISCONNECTED',  
       'KLSRV_EVENT_HOSTS_CONFLICT',  
       'KLSRV_EVENT_HOSTS_NEW_DETECTED',  
       'KLSRV_EVENT_HOSTS_NOT_VISIBLE',  
       'KLSRV_HOST_MOVED_WITH_RULE_EX',  
       'KLSRV_HOST_STATUS_CRITICAL',  
       'KLSRV_HOST_STATUS_WARNING',  
       'KLSRV_INVISIBLE_HOSTS_REMOVED',  
       'KLSRV_NO_SPACE_ON_VOLUMES',  
       'KLSRV_RUNTIME_ERROR',  
       'KLSRV_SEAMLESS_UPDATE_REGISTERED',  
       'KLSRV_UPD_BASES_UPDATED',  
       'KSNPROXY_STARTED_CON_CHK_FAILED',  
       'KSNPROXY_STARTED_CON_CHK_OK',  
       'KSNPROXY_STOPPED',  
       'KSWS_OBJECT_DELETED_ONREBOOT',  
       'ServerCertificateRenewed',  
       '000000cc',  
       '000000cf',  
       '000000d1',  
       '000000d2',  
       '000000d3',  
       '000000d4',  
       '000000d5',  
       '000000d6',  
       '000000d8',  
       '000000d9',  
       '000000da',  
       '000000db',  
       '000000dc',  
       '000000dd',  
       '000000de',  
       '000000df',  
       '000000fc',  
       '0000012f',  
       '00000134',  
       '00000136',  
       '0000013a',  
       '00000141',  
       '0000014d',  
       '0000014e',  
       '0000014f',  
       '00000150',  
       '00000191',  
       '00000192',  
       '00000193',  
       '000001c4',  
       '000001c7',  
       '000002c3',  
       '000002c4',  
       '00000321',  
       '000003a3',  
       '000003e9',  
       '000003fa',  
       '0000051e',  
       '000007d0',  
       '000007d4',  
       '000007e4',  
       '000007e5',  
       '000007e6',  
       '000007e7'
   )
   AND event_id > ?;
   

7. В поле Поле, которое будет использоваться как закладка для сохранения позиции укажите значение event_id, оно используется для сохранения позиции вычитки между запросами.

8. В блоке Данные для подключения (см. рисунок 21) выполните следующие настройки:

   

   Рисунок 21 -- Создание профиля сбора. Модуль "odbc_input". Блок "Данные для подключения"

   • в поле Драйвер для подключения выберите значение MySQL ODBC 8.0 ANSI Driver;
   • остальные поля заполните соответствующими сетевыми и учетными данными для подключения.

9. Сохраните профиль сбора.

10. Включите источник Kaspersky-SecurityCenter-db.

Microsoft Windows AppLocker

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Windows-AppLocker
Номер (Порт)	1528
Вендор	Microsoft
Тип	AppLocker
Профиль сбора	eventlog_input_local

Примечание: агент сбора лог-коллектора должен быть установлен на том же сервере, где и Microsoft Windows AppLocker.

Для настройки источника выполните следующие действия:

1. Включите службы Application Management и Application Identity.

2. Откройте локальные политики безопасности (secpol.msc) и перейдите в раздел Application Control Policies → AppLocker → Configure rule enforcement (см. рисунок 22).

   

   Рисунок 22 -- Local Security Policy. Configure rule enforcement

3. Откроется окно "AppLocker Properties" (см. рисунок 23).

   

   Рисунок 23 -- Окно "AppLocker Properties"

4. Выполните в окне следующие действия:

   • в поле Executable rules установите флаг "Configured" и из выпадающего списка выберите значение "Enforce rules";
   • в полях Windows installer rules, Script rules, Packaged app Rules установите флаг "Configured" и из выпадающего списка выберите значение "Audit only";
   • нажмите кнопку OK. Будут созданны соответствующие наборы правил.

5. Наполните созданные наборы правил Executable rules, Windows installer rules, Script rules, Packaged app Rules одним из следующих способом:

   • автоматически;
   • вручную.

6. Способ 1. Автоматически:

   • В разделе Application Control Policies → AppLocker выберите необходимый набор правил, вызовите контекстное меню и выберите пункт Automatically Generate Rules... (см. рисунок 24).

     

     Рисунок 24 -- Выбор способа генерации правил

   • На первом шаге укажите пользователя или группу пользователей, на кого будет применяться правило и путь к файлам для анализа (см. рисунок 25).

     

     Рисунок 25 -- Автоматическая генерация правил. Шаг 1

     Нажмите кнопку Next.

   • На втором шаге укажите, как будут анализироваться файлы: по сертификату, по хэшу или по пути (см. рисунок 26).

     

     Рисунок 262 -- Автоматическая генерация правил. Шаг 2

     Нажмите кнопку Next.

   • Проверьте информацию, указанную в правиле, и нажмите кнопку Create (см. рисунок 27).

     

     Рисунок 27 -- Автоматическая генерация правил. Шаг 3

     Правило будет создано.

   • Повторите действия для каждого набора правил Executable rules, Windows installer rules, Script rules, Packaged app Rules.

7. Способ 2. Вручную:

   • В разделе Application Control Policies → AppLocker выберите необходимый набор правил, вызовите контекстное меню и выберите пункт New Rule (см. рисунок 20). Отроется окно "Create Rules" (см. рисунок 28).

     

     Рисунок 28 -- Ручная генерация правил. Шаг 1

     Ознакомьтесь с информацией в окне и нажмите кнопку Next.

   • На втором шаге выберите действие (разрешить или запретить запуск) и пользователя (группу пользователей), на кого применится правило (см. рисунок 29).

     

     Рисунок 29 -- Ручная генерация правил. Шаг 2

     Нажмите кнопку Next.

   • На третьем шаге выберите тип проверки файла: по сертификату, либо по пути, либо по хэшу (см. рисунок30).

     

     Рисунок 30 -- Ручная генерация правил. Шаг 3

     Нажмите кнопку Next.

   • На четвертом шаге в зависимости от выбранного типа проверки файлов добавьте соответствующее условие (путь, либо хэш, либо сертификат) (см. рисунок 31).

     

     Рисунок 31 -- Ручная генерация правил. Шаг 4

     Нажмите кнопку Next.

   • На пятом шаге при необходимости добавьте исключения из правила (см. рисунок 32.

     

     Рисунок 32 -- Ручная генерация правил. Шаг 5

     Нажмите кнопку Next.

   • На шестом шаге укажите наименование правила и нажмите кнопку Create (см. рисунок 33).

     

     Рисунок 33 -- Ручная генерация правил. Шаг 6

     Правило будет создано.

   • Повторите действия для каждого набора правил Executable rules, Windows installer rules, Script rules, Packaged app Rules.

8. Примените политику, выполнив следующую команду в консоли:

   gpupdate /force
   

9. Проверить наличие событий в разделе AppLocker: EventViewer.msc → Application and Service Log → Microsoft → Windows → AppLocker (см. рисунок 34).

   

   Рисунок 34 -- Проверка наличия событий

10. Включите источник Microsoft-Windows-AppLocker.

Microsoft Windows Defender

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Windows-Defender
Номер (Порт)	1511
Вендор	Microsoft
Тип	Defender
Профиль сбора	eventlog_input_local

Примечание: события от источника включены по умолчанию и записываются в журнал Windows по пути Microsoft-Windows-Windows Defender/Operational. Агент сбора лог-коллектора должен быть установлен на том же сервере, где и Microsoft Windows Defender.

Включите источник Microsoft-Windows-Defender.

Microsoft Windows Firewall

Характеристики источника в Платформе Радар:

Характеристика	Значение
Название	Microsoft-Windows-Firewall
Номер (Порт)	1512
Вендор	Microsoft
Тип	Firewall
Профиль сбора	eventlog_input_local

Примечание: агент сбора лог-коллектора должен быть установлен на том же сервере, где и Microsoft Windows Firewall.

Для настройки источника выполните следующие действия:

1. Запустите консоль Powershell от имени администратора.

2. Включите журналирование для Windows Firewall (для каждого профиля, журналирование включается отдельно):

   Set-NetFireWallProfile -Profile Domain -LogBlocked True -LogAllowed True -LogMaxSize 4096 -LogFileName "$env:systemroot\system32\LogFiles\Firewall\pfirewall.log"
   Set-NetFireWallProfile -Profile Public -LogBlocked True -LogAllowed True -LogMaxSize 4096 -LogFileName "$env:systemroot\system32\LogFiles\Firewall\pfirewall.log"
   Set-NetFireWallProfile -Profile Private -LogBlocked True -LogAllowed True -LogMaxSize 4096 -LogFileName "$env:systemroot\system32\LogFiles\Firewall\pfirewall.log"
   

3. Включите источник Microsoft-Windows-Firewall.