Перейти к содержанию

Системы антивирусной защиты

Kaspersky Security Center. Microsoft SQL Server.

Настройка источника

  1. Создание учетной записи для сбора событий.

Для сбора событий с базы данных Kaspersky Security Center необходимо создать учетную запись с членством в роли db_datareader для базы KAV.

Процесс создания учетной записи приведен в Приложении 1. Создание учетной записи Microsoft SQL Server.

  1. При использовании межсетевого экрана на узле, необходимо сделать правило для входящих соединений.

Включение источника на Платформе

Для информации! Включение источника в Платформе представлено в разделе Управление источниками в Платформе, Включение/выключение поддерживаемых источников и их синхронизация

  1. Зайти в веб-консоль Платформы, перейти в раздел «Источники», «Управление источниками»;

  2. Найти в списке доступных источников «Kaspersky-SecurityCenter-db» и включить его;

  3. Кликнуть на кнопку «Синхронизировать».

Настройка коллектора событий

Для информации! Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора

  1. В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента ODBC.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент ODBC

Основные параметры, которые необходимо указать:

connection_string: "Driver={ODBC Driver 17 for SQL Server};Server=<ip-адрес>;Port=1433;Database=KAV;UID=<username>;PWD=<password>;"

Строка с sql запросом к базе представлена в Приложении 2. SQL запрос для KSC.

  1. После настройки компонента сбора событий (input) - необходимо настроить компонент отправки событий (output).

В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP

Основные параметры, которые необходимо указать:

target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы)

port: <"порт"> (стандартный порт для данного источника 2604)

  1. Далее необходимо включить компоненты сбора (collectors) и отправки (senders).

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Включение компонентов

Основные параметры, которые нужно указать при включении компонентов сбора:

collectors:

odbc:

- <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)

Основные параметры, которые нужно указать при включении компонентов отправки:

senders:

tcp:

- <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)

  1. После чего необходимо произвести настройку маршрутизации событий.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Маршрутизация событий

Основные параметры, которые нужно указать при настройке маршрута:

route_1: &route_1

collector_id:

- <"id компонента сбора">

sender_id:

- <"id компонента отправки">

  1. После нужно включить маршрут в разделе routers. Пример включения маршрута:

routers:

- <<: *<название маршрута> (например - <<: *route_1)

Приложение 1. Создание учетной записи Microsoft SQL Server.

Создание имени входа на сервер.

Настройку сервера необходимо выполнять от имени учетной записи, имеющей права локального администратора ОС Windows. Для создания данной учётной записи необходимо выполнить следующие действия:

  1. В меню Пуск открыть среду разработки MS SQL Management Studio (Диспетчер конфигурации SQL Server).

  2. В окне Connect to Server (Соединение с сервером) подключится к экземпляру необходимой базы данных (БД) с правами администратора sa (см. Рисунок 1).

Подключение к экземпляру БД

Рисунок 1. Подключение к экземпляру БД

  1. Подключится к экземпляру БД. Для предоставления доступа к экземпляру БД выполнить следующие действия:

  2. В окне Object Explorer (Обозреватель объектов) выбранного экземпляра БД (SQLEXPRESS) открыть контекстное меню раздела Logins (Имена для входа):

    Security → Logins (Безопасность → Имена для входа)

  3. В контекстном меню выбрать команду New Login (Создать имя для входа) (см. Рисунок 2).

Дерево каталогов экземпляра БД

Рисунок 2. Дерево каталогов экземпляра БД

  • В открывшемся окне Login--New (Создание имени для входа) в разделе General (Общие) выполнить следующие настройки (см. Рисунок 3):

  • Ввести имя пользователя (radaruser) в поле Login Name (Имя для входа).

  • Установить пароль в полях Password и Confirm Password (Пароль, Подтверждение пароля).

  • При необходимости выставить настройки в пунктах:

    • Enforce password policy (Требовать использование политики паролей);

    • Enforce password expiration (Задать срок окончания действия пароля).

  • Выбрать режим SQL Server authentication (Проверка подлинности SQL Server).

  • Выбрать KAV в качестве БД по умолчанию в раскрывающемся списке Default Database (База данных по умолчанию).

Создание нового пользователя экземпляра БД

Рисунок 3. Создание нового пользователя экземпляра БД

  • В разделе Server Roles (Роли сервера) проверить что пользователю предоставлена роль public (см. Рисунок 4).

  • Если она не предоставлена, то предоставить пользователю роль public.

Предоставление роли для создаваемого пользователя

Рисунок 4. Предоставление роли для создаваемого пользователя

  • В разделе User Mapping (Сопоставления пользователей) для созданного пользователя (radaruser) выполнить следующие настройки:

  • В поле User mapped to this login: (Пользователи, сопоставленные с этим именем для входа:) предоставить разрешение на подключение и чтение к БД KAV.

  • В поле Database role membership for: <имя БД> (Членство в роли базы данных для: <имя БД>) установить для выбранной БД роль db_datareader (см. Рисунок 5).

Настройка прав доступа к БД KAV

Рисунок 5. Настройка прав доступа к БД KAV

  • В разделе Securables (Защищаемые объекты) для созданного пользователя (radaruser) установить для выбранного сервера СУБД следующие разрешения в области Permission for: <имя сервера СУБД> (Разрешения для: \<имя сервера СУБД>):

  • Connect SQL (подключение SQL) (см. Рисунок 6).

Установка разрешения на подключение к БД

Рисунок 6. Установка разрешения на подключение к БД

  • Для сохранения введенных настроек для подключения к экземпляру БД нажать кнопку ОК.

Создание пользователя в БД KAV. Для предоставления доступа к БД KAV выполнить следующие действия:

  • В окне Object Explorer (Обозреватель объектов) выбранного экземпляра БД (SQLEXPRESS) выбрать раздел (см. Рисунок 7):

    Database → <Имя БД> → Security → Users (База данных → <Имя БД> → Безопасность → Пользователи).

Функция создания пользователя в БД KAV

Рисунок 7. Функция создания пользователя в БД KAV

  • Открыть контекстное меню раздела Users (Пользователи) и выбрать функцию New User (Создать пользователя) (см. Рисунок 7).

  • В открывшемся окне Database User - New (Пользователь базы данных - Создать) в разделе General (Общие) установить следующие параметры (см. Рисунок 8):

  • в поле User name (Имя пользователя) установить имя пользователя (dbuser);

  • в поле Login name (Имя для входа) указать созданного выше (см. шаг 3) пользователя экземпляра БД (radaruser).

Регистрация пользователя в БД KAV

Рисунок 8. Регистрация пользователя в БД KAV

  • В разделе Membership (Членство) установить для пользователя роль db_datareader (см. Рисунок 9).

Назначение роли

Рисунок 9. Назначение роли

  • Для сохранения всех введенных настроек при создании пользователя в БД KAV нажать кнопку ОК.

Предоставление удаленного сетевого доступа. Для удаленного доступа к данным, необходимо настроить доступность для выбранного экземпляра БД (SQLEXPRESS):

  • В меню Пуск необходимо запустить SQL Server Configuration Manager (Диспетчер конфигурации SQL Server).

  • В панели диспетчера конфигурации выбрать службу (см. Рисунок 10):

    SQL Server Network Configuration → Protocols for SQLEXPRESS

    (Сетевая конфигурация SQL Server → Протоколы для SQLEXPRESS).

  • В открывшемся справа списке протоколов выбрать протокол TCP/IP и в контекстном меню протокола перевести подключение по данному протоколу в режим «Включено», установив статус Enabled (Включено) (см. Рисунок 10).

Подключение по протоколу TCP/IP

Рисунок 10. Подключение по протоколу TCP/IP

  • В контекстном меню протокола TCP/IP выбрать функцию Properties (Свойства).

  • В открывшемся окне TCP/IP Properties (Свойства TCP/IP) на вкладке IP Adresses (IP-адреса) выбрать блок параметров IPAll и ввести значение порта в поле TCP Port. Например: 1433 (см. Рисунок 11).

  • Нажать кнопку OK для сохранения настроек доступа по протоколу TCP/IP.

Пример настройки протокола для удаленного доступа к БД

Рисунок 11. Пример настройки протокола для удаленного доступа к БД

  • Для применения сетевых настроек необходимо перезапустить службу MS SQL Server:

  • В меню Пуск выбрать раздел Servise (Службы).

  • В открывшемся окне Службы (Службы) выбрать службу SQL Server c запущенным экземпляром БД (SQLEXPRESS).

  • Выбрать функцию Restart the servise (Перезапустить службу) (см. Рисунок 12).

Перезапуск службы MS SQL Server

Рисунок 12. Перезапуск службы MS SQL Server

Приложение 2. SQL запрос для KSC.

sql: >
    SELECT
      events.event_id AS event_id,
      events.nHostId AS host_id,
      events.severity AS severity,
      events.group_name AS group_name, event_type,
      events.event_type_display_name AS event_name,
      rise_time AS event_time,
      events.descr AS description,
      events.task_display_name AS task_name,
      events.task_id AS task_id,
      events.product_displ_version AS product_version,
      events.par1,
      events.par2,
      events.par3,
      events.par4,
      events.par5,
      events.par6,
      events.par7,
      events.par8,
      events.product_name,
      hosts_view.strDisplayName AS hostname,
      dnsdomains.strName AS domain,
      fqdns.wstrfqdn AS fqdn,
      CAST(((hosts.nIpAddress / 16777216) & 255) AS varchar(4)) + '.' +
      CAST(((hosts.nIpAddress / 65536) & 255) AS varchar(4)) + '.' +
      CAST(((hosts.nIpAddress / 256) & 255) AS varchar(4)) + '.' +
      CAST(((hosts.nIpAddress) & 255) AS varchar(4)) AS ip_address,
      hosts_view.nPlatformType AS platform_id,
      hosts_view.tmLastInfoUpdate AS last_update,
      hosts_view.nVirusCount AS virus_count
    FROM KAV.dbo.ev_event AS events
    JOIN KAV.dbo.Hosts AS hosts ON hosts.nId = events.nHostId
    JOIN KAV.dbo.v_hosts AS hosts_view ON hosts_view.nId = hosts.nId
    JOIN KAV.dbo.v_hst_fqdns AS fqdns ON fqdns.nId = hosts.nId
    RIGHT JOIN KAV.dbo.DnsDomains AS dnsdomains ON dnsdomains.nId = hosts.nDnsDomain
    WHERE events.event_type IN (
      'FSEE_AKPLUGIN_CRITICAL_PATCHES_AVAILABLE',
      'FSEE_AKPLUGIN_PEP_APPLICATION_AUDIT_DENIED',
      'GNRL_EV_APP_LAUNCH_TESTED_DENIED',
      'GNRL_EV_APPLICATION_LAUNCH_DENIED',
      'GNRL_EV_ATTACK_DETECTED',
      'GNRL_EV_DEVCTRL_DEV_PLUGGED',
      'GNRL_EV_OBJECT_BLOCKED',
      'GNRL_EV_OBJECT_CURED',
      'GNRL_EV_OBJECT_DELETED',
      'GNRL_EV_OBJECT_NOTCURED',
      'GNRL_EV_OBJECT_QUARANTINED',
      'GNRL_EV_PTOTECTION_LEVEL_CHANGED',
      'GNRL_EV_SUSPICIOUS_OBJECT_FOUND',
      'GNRL_EV_VIRUS_FOUND',
      'GNRL_EV_VIRUS_OUTBREAK',
      'KLAUD_EV_ADMGROUP_CHANGED',
      'KLAUD_EV_SERVERCONNECT',
      'KLNAG_EV_INV_APP_INSTALLED',
      'KLNAG_EV_INV_APP_UNINSTALLED',
      'KLNAG_EV_INV_CMPTR_APP_INSTALLED',
      'KLPRCI_TaskState',
      'KLSRV_EVENT_HOSTS_CONFLICT',
      'KLSRV_EVENT_HOSTS_NEW_DETECTED',
      'KLSRV_HOST_STATUS_CRITICAL',
      'KLSRV_HOST_STATUS_WARNING',
      'KLSRV_SEAMLESS_UPDATE_REGISTERED',
      'KLSRV_UPD_BASES_UPDATED',
      '000000d1',
      '000000d3',
      '000000d4',
      '000000d5',
      '000000d6',
      '000000dd',
      '000000de',
      '000000df',
      '0000012f',
      '0000014d',
      '0000014e',
      '0000014f',
      '00000192',
      '00000193',
      '000000cf'
    )
    AND event_id > ?;