Dallas Lock ЕЦУ сбор из СУБД PostgreSQL

Данное руководство описывает процесс настройки сбора и отправки событий Dallas Lock 8.0 Сервер безопасности в R-Vision SIEM.

Предварительные требования

  • Dallas Lock ЕЦУ хранит журналы на внешней СУБД.

  • Сетевой доступ к БД Dallas Lock ЕЦУ.

  • Учетная запись в СУБД с правами на чтение таблиц базы данных (сбор из БД).

Настройки СУБД PostgreSQL

Для настройки сбора логов из базы данных необходимо к ней подключиться. Чтобы подключиться к БД, используйте специально созданную сервисную учетную запись (далее — УЗ).

Создание учетной записи в СУБД PostgreSQL

Чтобы создать сервисную УЗ, подключитесь к СУБД с правами администратора. Для этого выполните следующие действия на сервере с установленной СУБД:

  1. Выполните следующую команду из-под пользователя postgres:

    sudo -u postgres psql
  2. Создайте сервисную учетную запись, выполнив следующие команды:

    CREATE USER "dl_reader";
    ALTER ROLE dl_reader WITH PASSWORD 'passw0rd';
  3. Выдайте права на подключение к базе и чтение таблицы:

    GRANT CONNECT ON DATABASE dallaslock to dl_reader;
    GRANT SELECT ON ALL TABLES IN SCHEMA public TO dl_reader;

Настройка в R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие действия:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Тип точки входа: Database.

    • SQL-запрос:

      SELECT record_id as record_id
          ,timestamp as timestamp
          ,timestamp_timezone as timezone
          ,user as user
          ,event_id as event_id
          ,obj_name as obj
          ,status as status
          ,comment as comment
          ,guid as guid
          ,(SELECT vers_t.value FROM public.ucc_metainfo vers_t WHERE vers_t.key = 'version') as version
          ,'DL_PSQL' as filter
          ,inet_server_addr() AS dvc
      FROM public.jrn_uccmainjournal
      WHERE record_id > CAST(? AS BIGINT)
      ORDER BY record_id ASC;
    • База данных: PostgreSQL.

    • Интервал запроса: 300 секунд.

    • Поле идентификатора:

      • Ключ: record_id.

      • Значение: 1.

    • Строка подключения в секрете:

      jdbc:postgresql://DBSERVER:5432/DBNAME?user=dl_reader&password=passw0rd

      Здесь:

      • DBSERVER — FQDN или IP-адрес сервера СУБД.

      • 5432 — порт подключения

      Создание секрета описано в разделе Настройка секрета database в R-Vision SIEM.
  3. Добавьте на конвейер элемент Нормализатор с правилом "RV-N-133". Соедините нормализатор с точкой входа.

  4. Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.

  5. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

dallas lock ecu psql

Если настройка выполнена корректно, в хранилище начнут поступать события из PostgreSQL.

Найти события из PostgreSQL в хранилище можно по следующему фильтру:

dproduct = Единый центр управления

Настройка секрета database в R-Vision SIEM

Чтобы создать секрет подключения к СУБД:

  1. В интерфейсе R-Vision SIEM перейдите в раздел Ресурсы → Секреты.

  2. Нажмите на кнопку Создать.

  3. В открывшемся окне заполните поля:

    • Название — введите название секрета.

    • Описание (опционально) — введите назначение секрета.

    • Тип секрета — выберите вариант Строка подключения.

    • Строка подключения — укажите данные для подключения к СУБД.

  4. Нажмите на кнопку Создать.

dallas lock ecu psql secret

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.