Импорт событий из базы Kaspersky Security Center

В KUMA можно получать события из SQL-базы Kaspersky Security Center. Получение событий производится с помощью коллектора, в котором используются следующие ресурсы:

Настройка импорта событий из Kaspersky Security Center состоит из следующих шагов:

  1. Создание копии предустановленного коннектора.

    Параметры предустановленного коннектора недоступны для редактирования, поэтому для настройки параметров подключения к серверу базы данных требуется создать копию предустановленного коннектора.

  2. Создание коллектора:
    • В веб-интерфейсе.
    • На сервере.

Чтобы настроить импорт событий из Kaspersky Security Center:

  1. Создайте копию предустановленного коннектора, соответствующего типу базы данных Kaspersky Security Center:
    1. В веб-интерфейсе KUMA в разделе Ресурсы → Коннекторы найдите в структуре папок нужный предустановленный коннектор, установите флажок рядом с этим коннектором и нажмите Дублировать.
    2. В открывшемся окне Создание коннектора на вкладке Основные параметры в поле Запрос по умолчанию при необходимости замените имя базы данных KAV на имя используемой вами базы данных Kaspersky Security Center.

      Пример запроса к SQL-базе Kaspersky Security Center

    3. Установите курсор в поле URL и в раскрывшемся списке в строке используемого секрета нажмите на значок edit-pencil.
    4. В открывшемся окне Секрет в поле URL укажите адрес для подключения к серверу в следующем формате:

      sqlserver://user:password@kscdb.example.com:1433/database

      где:

      • user – учетная запись с правами public и db_datareader к нужной базе данных;
      • password – пароль учетной записи;
      • kscdb.example.com:1433 – адрес и порт сервера базы данных;
      • database – название базы данных Kaspersky Security Center. По умолчанию – KAV.

      Нажмите Сохранить.

    5. В окне Создание коннектора в разделе Подключение в поле Запрос при необходимости замените имя базы данных KAV на имя используемой вами базы данных Kaspersky Security Center.

      Это действие нужно выполнять, если вы планируете использовать столбец идентификатора, к которому относится запрос.

      Нажмите Сохранить.

  2. Установите коллектор в веб-интерфейсе:
    1. Запустите мастер установки коллектора одним из следующих способов:
      • В веб-интерфейсе KUMA в разделе Ресурсы нажмите Подключить источник.
      • В веб-интерфейсе KUMA в разделе РесурсыКоллекторы нажмите Добавить коллектор.
    2. На шаге 1 Подключение источников в мастере установки укажите название коллектора и выберите тенант.
    3. На шаге 2 Транспорт в мастере установки выберите созданную на шаге 1 копию коннектора.
    4. На шаге 3 Парсинг событий в мастере установки на вкладке Схемы парсинга нажмите Добавить парсинг событий.
    5. В открывшемся окне Основной парсинг событий на вкладке Схема нормализации в раскрывающемся списке Нормализатор выберите [OOTB] KSC from SQL и нажмите OK.
    6. При необходимости укажите остальные параметры в соответствии с вашими требованиями к коллектору. Для импорта событий настройка параметров на остальных шагах мастера установки не обязательна.
    7. На шаге 8 Проверка параметров в мастере установки нажмите Сохранить и создать сервис.

      В нижней части окна отобразится команда, которая понадобится для установки коллектора на сервере. Скопируйте эту команду.

    8. Закройте мастер установки коллектора, нажав Сохранить коллектор.
  3. Установите коллектор на сервере.

    Для этого на сервере, предназначенном для получения событий Kaspersky Security Center, выполните команду, скопированную после создания коллектора в веб-интерфейсе.

В результате коллектор будет установлен и сможет принимать события из SQL-базы Kaspersky Security Center.

Вы можете просмотреть события Kaspersky Security Center в разделе веб-интерфейса События.

В начало