Перейти к содержанию

Системы антивирусной защиты

О событиях в Kaspersky Security Center

В Kaspersky Security Center существуют следующие типы уведомлений:

  • Общие события. Эти события возникают во всех управляемых программах "Лаборатории Касперского". Например, общее событие Вирусная атака. Общие события имеют строго определенные синтаксис и семантику. Общие события используются, например, в отчетах и панели мониторинга.
  • Специфические события управляемых программ "Лаборатории Касперского". Каждая управляемая программа "Лаборатории Касперского" имеет собственный набор событий.

Каждое событие имеет собственный уровень важности. В зависимости от условий возникновения, событию могут быть присвоены различные уровни важности.

Существует четыре уровня важности событий:

  • Критическое событие – событие, указывающее на возникновение критической проблемы, которая может привести к потере данных, сбою в работе или критической ошибке.
  • Отказ функционирования – событие, указывающее на возникновение серьезной проблемы, ошибки или сбоя, произошедшего во время работы программы или выполнения процедуры.
  • Предупреждение – событие, не обязательно являющееся серьезным, однако указывающее на возможное возникновение проблемы в будущем. Чаще всего события относятся к Предупреждениям, если после их возникновения работа программы может быть восстановлена без потери данных или функциональных возможностей.
  • Информационное сообщение – событие, возникающее с целью информирования об успешном выполнении операции, корректной работе программы или завершении процедуры.

Для каждого события задано время хранения, которое можно посмотреть или изменить в Kaspersky Security Center. Некоторые события не сохраняются в базе данных Сервера администрирования по умолчанию, поскольку для них установленное время хранения равно нулю. Во внешние системы можно экспортировать только те события, которые хранятся в базе данных Сервера администрирования не менее одного дня.

Kaspersky Security Center через Microsoft SQL Server.

Настройка источника

  1. Создание учетной записи для сбора событий.

    Для сбора событий с базы данных Kaspersky Security Center необходимо создать учетную запись с членством в роли db_datareader для базы KAV.

    Процесс создания учетной записи приведен в разделе Создание учетной записи Microsoft SQL Server.

  2. При использовании межсетевого экрана на узле необходимо сделать правило для входящих соединений.

Включение источника на Платформе

Включение источника в Платформе представлено в разделе Управление источниками в Платформе, Включение/выключение поддерживаемых источников и их синхронизация

  1. Зайти в веб-консоль Платформы, перейти в раздел «Источники», «Управление источниками»;

  2. Найти в списке доступных источников «Kaspersky-SecurityCenter-db» и включить его;

  3. Кликнуть на кнопку «Синхронизировать».

Настройка коллектора событий

Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора

  1. В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента ODBC.

    Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент ODBC

    Основные параметры, которые необходимо указать:

    connection_string: "Driver={ODBC Driver 17 for SQL Server};Server=<ip-адрес>;Port=1433;Database=KAV;UID=<username>;PWD=<password>;"

    Строка с sql запросом к базе представлена в разделе SQL запрос для KSC.

  2. После настройки компонента сбора событий (input) - необходимо настроить компонент отправки событий (output).

    В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP.

    Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP

    Основные параметры, которые необходимо указать:

    target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы)

    port: <"порт"> (стандартный порт для данного источника 2604)

  3. Далее необходимо включить компоненты сбора (collectors) и отправки (senders).

    Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Включение компонентов

    Основные параметры, которые нужно указать при включении компонентов сбора:

    collectors:

    odbc:

    - <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)

    Основные параметры, которые нужно указать при включении компонентов отправки:

    senders:

    tcp:

    - <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)

  4. После чего необходимо произвести настройку маршрутизации событий.

    Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Маршрутизация событий

    Основные параметры, которые нужно указать при настройке маршрута:

    route_1: &route_1

    collector_id:

    - <"id компонента сбора">

    sender_id:

    - <"id компонента отправки">

  5. После нужно включить маршрут в разделе routers. Пример включения маршрута:

    routers:

    - <<: *<название маршрута> (например - <<: *route_1)

Создание учетной записи Microsoft SQL Server

Создание имени входа на сервер

Настройку сервера необходимо выполнять от имени учетной записи, имеющей права локального администратора ОС Windows. Для создания данной учётной записи необходимо выполнить следующие действия:

  1. В меню Пуск открыть среду разработки MS SQL Management Studio (Диспетчер конфигурации SQL Server).

  2. В окне Connect to Server (Соединение с сервером) подключится к экземпляру необходимой базы данных (БД) с правами администратора sa (см. рисунок 1).

    Подключение к экземпляру БД

    Рисунок 1 -- Подключение к экземпляру БД

  3. Подключится к экземпляру БД. Для предоставления доступа к экземпляру БД выполнить следующие действия:

    • В окне Object Explorer (Обозреватель объектов) выбранного экземпляра БД (SQLEXPRESS) открыть контекстное меню раздела Logins (Имена для входа):

      Security → Logins (Безопасность → Имена для входа)

    • В контекстном меню выбрать команду New Login (Создать имя для входа - см. рисунок 2).

    Дерево каталогов экземпляра БД

    Рисунок 2 -- Дерево каталогов экземпляра БД

    • В открывшемся окне Login--New (Создание имени для входа) в разделе General (Общие) выполнить следующие настройки (см. рисунок 3):

    • Ввести имя пользователя (radaruser) в поле Login Name (Имя для входа).

    • Установить пароль в полях Password и Confirm Password (Пароль, Подтверждение пароля).

    • При необходимости выставить настройки в пунктах:

      • Enforce password policy (Требовать использование политики паролей);

      • Enforce password expiration (Задать срок окончания действия пароля).

    • Выбрать режим SQL Server authentication (Проверка подлинности SQL Server).

    • Выбрать KAV в качестве БД по умолчанию в раскрывающемся списке Default Database (База данных по умолчанию).

    Создание нового пользователя экземпляра БД

    Рисунок 3 -- Создание нового пользователя экземпляра БД

  4. В разделе Server Roles (Роли сервера) проверить что пользователю предоставлена роль public (см. рисунок 4).

    Если она не предоставлена, то предоставить пользователю роль public.

    Предоставление роли для создаваемого пользователя

    Рисунок 4 -- Предоставление роли для создаваемого пользователя

  5. В разделе User Mapping (Сопоставления пользователей) для созданного пользователя (radaruser) выполнить следующие настройки:

    • В поле User mapped to this login: (Пользователи, сопоставленные с этим именем для входа:) предоставить разрешение на подключение и чтение к БД KAV.

    • В поле Database role membership for: <имя БД> (Членство в роли базы данных для: <имя БД>) установить для выбранной БД роль db_datareader (см. рисунок 5).

    Настройка прав доступа к БД KAV

    Рисунок 5 -- Настройка прав доступа к БД KAV

  6. В разделе Securables (Защищаемые объекты) для созданного пользователя (radaruser) установить для выбранного сервера СУБД следующие разрешения в области Permission for: <имя сервера СУБД> (Разрешения для: \<имя сервера СУБД>):

    • Connect SQL (подключение SQL) (см. рисунок 6).

    Установка разрешения на подключение к БД

    Рисунок 6 -- Установка разрешения на подключение к БД

  7. Для сохранения введенных настроек для подключения к экземпляру БД нажать кнопку ОК.

Создание пользователя в БД KAV. Для предоставления доступа к БД KAV выполнить следующие действия:

  1. В окне Object Explorer (Обозреватель объектов) выбранного экземпляра БД (SQLEXPRESS) выбрать раздел (см. рисунок 7):

    Database → <Имя БД> → Security → Users

    (База данных → <Имя БД> → Безопасность → Пользователи).

    Функция создания пользователя в БД KAV

    Рисунок 7 -- Функция создания пользователя в БД KAV

  2. Открыть контекстное меню раздела Users (Пользователи) и выбрать функцию New User (Создать пользователя - см. рисунок 7).

  3. В открывшемся окне Database User - New (Пользователь базы данных - Создать) в разделе General (Общие) установить следующие параметры (см. рисунок 8):

    • в поле User name (Имя пользователя) установить имя пользователя (dbuser);

    • в поле Login name (Имя для входа) указать созданного выше (см. шаг 3) пользователя экземпляра БД (radaruser).

    Регистрация пользователя в БД KAV

    Рисунок 8 -- Регистрация пользователя в БД KAV

  4. В разделе Membership (Членство) установить для пользователя роль db_datareader (см. рисунок 9).

    Назначение роли

    Рисунок 9 -- Назначение роли

  5. Для сохранения всех введенных настроек при создании пользователя в БД KAV нажать кнопку ОК.

Предоставление удаленного сетевого доступа. Для удаленного доступа к данным, необходимо настроить доступность для выбранного экземпляра БД (SQLEXPRESS):

  1. В меню Пуск необходимо запустить SQL Server Configuration Manager (Диспетчер конфигурации SQL Server).

  2. В панели диспетчера конфигурации выбрать службу (см. рисунок 10):

    SQL Server Network Configuration → Protocols for SQLEXPRESS (Сетевая конфигурация SQL Server → Протоколы для SQLEXPRESS).

  3. В открывшемся справа списке протоколов выбрать протокол TCP/IP и в контекстном меню протокола перевести подключение по данному протоколу в режим «Включено», установив статус Enabled (Включено - см. рисунок 10).

    Подключение по протоколу TCP/IP

    Рисунок 10 -- Подключение по протоколу TCP/IP

  4. В контекстном меню протокола TCP/IP выбрать функцию Properties (Свойства).

  5. В открывшемся окне TCP/IP Properties (Свойства TCP/IP) на вкладке IP Adresses (IP-адреса) выбрать блок параметров IPAll и ввести значение порта в поле TCP Port. Например: 1433 (см. рисунок 11).

  6. Нажать кнопку OK для сохранения настроек доступа по протоколу TCP/IP.

    Пример настройки протокола для удаленного доступа к БД

    Рисунок 11 -- Пример настройки протокола для удаленного доступа к БД

  7. Для применения сетевых настроек необходимо перезапустить службу MS SQL Server:

    • В меню Пуск выбрать раздел Servise (Службы).

    • В открывшемся окне Службы (Службы) выбрать службу SQL Server c запущенным экземпляром БД (SQLEXPRESS).

    • Выбрать функцию Restart the servise (Перезапустить службу) (см. рисунок 12).

    Перезапуск службы MS SQL Server

    Рисунок 12. Перезапуск службы MS SQL Server

SQL запрос для KSC

sql: >
    SELECT
      events.event_id AS event_id,
      events.nHostId AS host_id,
      events.severity AS severity,
      events.group_name AS group_name, event_type,
      events.event_type_display_name AS event_name,
      rise_time AS event_time,
      events.descr AS description,
      events.task_display_name AS task_name,
      events.task_id AS task_id,
      events.product_displ_version AS product_version,
      events.par1,
      events.par2,
      events.par3,
      events.par4,
      events.par5,
      events.par6,
      events.par7,
      events.par8,
      events.product_name,
      hosts_view.strDisplayName AS hostname,
      dnsdomains.strName AS domain,
      fqdns.wstrfqdn AS fqdn,
      CAST(((hosts.nIpAddress / 16777216) & 255) AS varchar(4)) + '.' +
      CAST(((hosts.nIpAddress / 65536) & 255) AS varchar(4)) + '.' +
      CAST(((hosts.nIpAddress / 256) & 255) AS varchar(4)) + '.' +
      CAST(((hosts.nIpAddress) & 255) AS varchar(4)) AS ip_address,
      hosts_view.nPlatformType AS platform_id,
      hosts_view.tmLastInfoUpdate AS last_update,
      hosts_view.nVirusCount AS virus_count
    FROM KAV.dbo.ev_event AS events
    JOIN KAV.dbo.Hosts AS hosts ON hosts.nId = events.nHostId
    JOIN KAV.dbo.v_hosts AS hosts_view ON hosts_view.nId = hosts.nId
    JOIN KAV.dbo.v_hst_fqdns AS fqdns ON fqdns.nId = hosts.nId
    RIGHT JOIN KAV.dbo.DnsDomains AS dnsdomains ON dnsdomains.nId = hosts.nDnsDomain
    WHERE events.event_type IN (
      'FSEE_AKPLUGIN_CRITICAL_PATCHES_AVAILABLE',
      'FSEE_AKPLUGIN_PEP_APPLICATION_AUDIT_DENIED',
      'GNRL_EV_APP_LAUNCH_TESTED_DENIED',
      'GNRL_EV_APPLICATION_LAUNCH_DENIED',
      'GNRL_EV_ATTACK_DETECTED',
      'GNRL_EV_DEVCTRL_DEV_PLUGGED',
      'GNRL_EV_OBJECT_BLOCKED',
      'GNRL_EV_OBJECT_CURED',
      'GNRL_EV_OBJECT_DELETED',
      'GNRL_EV_OBJECT_NOTCURED',
      'GNRL_EV_OBJECT_QUARANTINED',
      'GNRL_EV_PTOTECTION_LEVEL_CHANGED',
      'GNRL_EV_SUSPICIOUS_OBJECT_FOUND',
      'GNRL_EV_VIRUS_FOUND',
      'GNRL_EV_VIRUS_OUTBREAK',
      'KLAUD_EV_ADMGROUP_CHANGED',
      'KLAUD_EV_SERVERCONNECT',
      'KLNAG_EV_INV_APP_INSTALLED',
      'KLNAG_EV_INV_APP_UNINSTALLED',
      'KLNAG_EV_INV_CMPTR_APP_INSTALLED',
      'KLPRCI_TaskState',
      'KLSRV_EVENT_HOSTS_CONFLICT',
      'KLSRV_EVENT_HOSTS_NEW_DETECTED',
      'KLSRV_HOST_STATUS_CRITICAL',
      'KLSRV_HOST_STATUS_WARNING',
      'KLSRV_SEAMLESS_UPDATE_REGISTERED',
      'KLSRV_UPD_BASES_UPDATED',
      '000000d1',
      '000000d3',
      '000000d4',
      '000000d5',
      '000000d6',
      '000000dd',
      '000000de',
      '000000df',
      '0000012f',
      '0000014d',
      '0000014e',
      '0000014f',
      '00000192',
      '00000193',
      '000000cf'
    )
    AND event_id > ?;

Kaspersky Security Center через Syslog

Настройка Kaspersky Security Center для экспорта событий в Платформу Радар

Вы можете включить автоматический экспорт событий в Kaspersky Security Center.

Только общие события могут быть экспортированы от управляемых программ в форматах CEF и LEEF. Специфические события программ не могут быть экспортированы от управляемых программ в форматах CEF и LEEF. Если необходимо экспортировать события управляемых программ или пользовательский набор событий, который настроен с помощью политик управляемых программ, используйте экспорт событий в формате Syslog.

Чтобы включить автоматический экспорт общих событий:

  1. В дереве консоли Kaspersky Security Center выберите узел с именем Сервера администрирования, события которого необходимо экспортировать.
  2. В рабочей области выбранного Сервера администрирования перейдите на закладку События.
  3. Нажмите на стрелку рядом со ссылкой Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите пункт Настроить экспорт в SIEM-систему. Откроется окно свойств событий на разделе Экспорт событий.
  4. В разделе Экспорт событий укажите следующие параметры экспорта:
    • Автоматически экспортировать события в базу SIEM-системы
    • SIEM-система
    • Адрес сервера SIEM-системы
    • Порт сервера SIEM-системы
    • Протокол
  5. Если вы выбрали формат Syslog, вы должны указать:
    • Максимальный размер сообщения в байтах

Если требуется выполнить экспорт в Платформу Радар событий, произошедших после определенной даты в прошлом, нажмите на кнопку Экспортировать архив и укажите дату, начиная с которой будет выполнен экспорт событий. По умолчанию экспорт событий начинается сразу после включения.

Нажмите на кнопку ОК.

Автоматический экспорт событий включен.

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться в Платформу Радар.

Выбор событий для экспорта в Платформу Радар в формате Syslog

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться в Платформу Радар.

Вы можете настроить экспорт событий в формате Syslog в Платформу Радар на основе одного из следующих условий:

  • Выбор общих событий. Если вы выберите экспортируемые события в политике, в свойствах события или в свойствах Сервера администрирования, то в Платформу Радар будут переданы выбранные события, которые произошли во всех программах, управляемых данной политикой. Если экспортируемые события были выбраны в политике, вам не удастся их переопределить для отдельной программы, управляемой этой политикой.
  • Выбор событий для управляемой программы. Если вы выбираете экспортируемые события для управляемой программы, установленной на управляемых устройствах, то в Платформу Радар будут переданы только события, которые произошли в этой программе.

Если вы хотите выполнить экспорт событий, произошедших в отдельной управляемой программе, установленной на управляемом устройстве, выберите для программы события для экспорта. В случае, если ранее экспортируемые события были выбраны в политике, вам не удастся переопределить выбранные события для отдельной программы, управляемой этой политикой.

Чтобы выбрать события для отдельной управляемой программы:

  1. В дереве консоли Kaspersky Security Center выберите узел Управляемые устройства и перейдите на закладку Устройства.
  2. Откройте контекстное меню требуемого устройства по правой клавише мыши и выберите пункт Свойства.
  3. В открывшемся окне свойств устройства выберите раздел Программы.
  4. В появившемся списке программ выберите программу, события которой требуется экспортировать, и нажмите на кнопку Свойства.
  5. В окне свойств программы выберите раздел Настройка событий.
  6. В появившемся списке событий выберите одно или несколько событий, которые требуется экспортировать в Платформу Радар, и нажмите на кнопку Свойства.
  7. В открывшемся окне свойств событий выберите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отметить выбранные события для экспорта в формате Syslog. Выключите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отменить выбор событий для экспорта в формате Syslog.
  8. Если свойства события заданы в политике, поля этого окна недоступны для редактирования.
  9. Нажмите на кнопку ОК, чтобы сохранить изменения.
  10. Нажмите на кнопку ОК в окне свойств программы и в окне свойств устройства.

Если вы хотите выполнить экспорт событий, произошедших во всех программах, управляемых определенной политикой, выберите экспортируемые события в политике. В этом случае вы не можете выбрать события для отдельной управляемой программы.

Чтобы выбрать общие события для экспорта в Платформу Радар:

  1. В дереве консоли Kaspersky Security Center выберите узел Политики.
  2. Откройте контекстное меню требуемой политики по правой клавише мыши и выберите пункт Свойства.
  3. В открывшемся окне свойств политики выберите раздел Настройка событий.
  4. В появившемся списке событий выберите одно или несколько событий, которые требуется экспортировать в Платформу Радар, и нажмите на кнопку Свойства.
  5. Если требуется выбрать все события, нажмите на кнопку Выделить все.
  6. В открывшемся окне свойств событий выберите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отметить выбранные события для экспорта в формате Syslog. Снимите флажок Экспортировать в SIEM-систему по протоколу Syslog, чтобы отменить выбор событий для экспорта в формате Syslog.
  7. Нажмите на кнопку ОК, чтобы сохранить изменения.
  8. В окне свойств политики нажмите на кнопку ОК.