Импорт событий из базы Kaspersky Security Center

В KUMA можно получать события из SQL-базы Kaspersky Security Center. Получение событий производится с помощью коллектора, в котором используются следующие ресурсы:

Предустановленный коннектор [OOTB] KSC MSSQL, [OOTB] KSC MySQL или [OOTB] KSC PostgreSQL.
Предустановленный нормализатор [OOTB] KSC from SQL.

Настройка импорта событий из Kaspersky Security Center состоит из следующих шагов:

Создание копии предустановленного коннектора.
Параметры предустановленного коннектора недоступны для редактирования, поэтому для настройки параметров подключения к серверу базы данных требуется создать копию предустановленного коннектора.
Создание коллектора:
- В веб-интерфейсе.
- На сервере.

Чтобы настроить импорт событий из Kaspersky Security Center:

Создайте копию предустановленного коннектора, соответствующего типу базы данных Kaspersky Security Center:
1. В веб-интерфейсе KUMA в разделе Ресурсы → Коннекторы найдите в структуре папок нужный предустановленный коннектор, установите флажок рядом с этим коннектором и нажмите Дублировать.
2. В открывшемся окне Создание коннектора на вкладке Основные параметры в поле Запрос по умолчанию при необходимости замените имя базы данных KAV на имя используемой вами базы данных Kaspersky Security Center.
  Пример запроса к SQL-базе Kaspersky Security Center
  
  SELECT ev.event_id AS externalId, ev.severity AS severity, ev.task_display_name AS taskDisplayName,
  
          ev.product_name AS product_name, ev.product_version AS product_version,
  
           ev.event_type As deviceEventClassId, ev.event_type_display_name As event_subcode, ev.descr As msg,
  
  CASE
  
          WHEN ev.rise_time is not NULL THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.rise_time )
  
              ELSE ev.rise_time
  
          END
  
      AS endTime,
  
      CASE
  
          WHEN ev.registration_time is not NULL
  
              THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.registration_time )
  
              ELSE ev.registration_time
  
          END
  
      AS kscRegistrationTime,
  
      cast(ev.par7 as varchar(4000)) as sourceUserName,
  
      hs.wstrWinName as dHost,
  
      hs.wstrWinDomain as strNtDom, serv.wstrWinName As kscName,
  
          CAST(hs.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(hs.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(hs.nIp / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(hs.nIp % 256 AS VARCHAR) AS sourceAddress,
  
      serv.wstrWinDomain as kscNtDomain,
  
          CAST(serv.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(serv.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(serv.nIp / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(serv.nIp % 256 AS VARCHAR) AS kscIP,
  
      CASE
  
      WHEN virus.tmVirusFoundTime is not NULL
  
              THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),virus.tmVirusFoundTime )
  
              ELSE ev.registration_time
  
          END
  
      AS virusTime,
  
      virus.wstrObject As filePath,
  
      virus.wstrVirusName as virusName,
  
      virus.result_ev as result
  
  FROM KAV.dbo.ev_event as ev
  
  LEFT JOIN KAV.dbo.v_akpub_host as hs ON ev.nHostId = hs.nId
  
  INNER JOIN KAV.dbo.v_akpub_host As serv ON serv.nId = 1
  
  Left Join KAV.dbo.rpt_viract_index as Virus on ev.event_id = virus.nEventVirus
  
  where registration_time >= DATEADD(minute, -191, GetDate())
3. Установите курсор в поле URL и в раскрывшемся списке в строке используемого секрета нажмите на значок .
4. В открывшемся окне Секрет в поле URL укажите адрес для подключения к серверу в следующем формате:
  sqlserver://user:password@kscdb.example.com:1433/database
  
  где:
  - user – учетная запись с правами public и db_datareader к нужной базе данных;
  - password – пароль учетной записи;
  - kscdb.example.com:1433 – адрес и порт сервера базы данных;
  - database – название базы данных Kaspersky Security Center. По умолчанию – KAV.
  Нажмите Сохранить.
5. В окне Создание коннектора в разделе Подключение в поле Запрос при необходимости замените имя базы данных KAV на имя используемой вами базы данных Kaspersky Security Center.
  Это действие нужно выполнять, если вы планируете использовать столбец идентификатора, к которому относится запрос.
  
  Нажмите Сохранить.
Установите коллектор в веб-интерфейсе:
1. Запустите мастер установки коллектора одним из следующих способов:
  - В веб-интерфейсе KUMA в разделе Ресурсы нажмите Подключить источник.
  - В веб-интерфейсе KUMA в разделе Ресурсы → Коллекторы нажмите Добавить коллектор.
2. На шаге 1 Подключение источников в мастере установки укажите название коллектора и выберите тенант.
3. На шаге 2 Транспорт в мастере установки выберите созданную на шаге 1 копию коннектора.
4. На шаге 3 Парсинг событий в мастере установки на вкладке Схемы парсинга нажмите Добавить парсинг событий.
5. В открывшемся окне Основной парсинг событий на вкладке Схема нормализации в раскрывающемся списке Нормализатор выберите [OOTB] KSC from SQL и нажмите OK.
6. При необходимости укажите остальные параметры в соответствии с вашими требованиями к коллектору. Для импорта событий настройка параметров на остальных шагах мастера установки не обязательна.
7. На шаге 8 Проверка параметров в мастере установки нажмите Сохранить и создать сервис.
  В нижней части окна отобразится команда, которая понадобится для установки коллектора на сервере. Скопируйте эту команду.
8. Закройте мастер установки коллектора, нажав Сохранить коллектор.
Установите коллектор на сервере.
Для этого на сервере, предназначенном для получения событий Kaspersky Security Center, выполните команду, скопированную после создания коллектора в веб-интерфейсе.

В результате коллектор будет установлен и сможет принимать события из SQL-базы Kaspersky Security Center.

Вы можете просмотреть события Kaspersky Security Center в разделе веб-интерфейса События.

В начало