Kaspersky Security Center сбор из СУБД MySQL (MariaDB)

Предварительные требования

Сетевой доступ к БД Kaspersky Security Center.
Учетная запись в СУБД с правами на чтение таблицы ev_event (Сбор событий из БД).

Настройки СУБД MySQL (MariaDB)

Создание учетной записи в СУБД MySQL (MariaDB)

Для создания сервисной УЗ подключитесь к СУБД с правами администратора. Для этого на сервере с установленной СУБД выполните следующие действия:

Выполните следующую команду из-под пользователя root:
```
mysql -u root -p
```
Создайте сервисную учетную запись, выполнив следующую команду:
```
CREATE USER 'kasper'@'localhost' IDENTIFIED BY 'passw0rd';
```
Выдайте права на подключение к базе и чтение таблицы:
```
GRANT CONNECT ON DATABASE KAV to kasper;
GRANT SELECT ON ev_event TO 'kasper'@'localhost';
```

Настройка в R-Vision SIEM

Общий вид рабочего конвейера для обеспечения получения и отображения событий:

kaspersky security center pipeline

Для подключения базы данных MySQL (MariaDB) в качестве источника событий в SIEM настройте следующий конвейер:

Создайте точку входа со следующими параметрами:

Тип точки входа: Database.

SQL-запрос:

SELECT
ev.event_id AS event_id,
    ev.event_type_id AS deviceEventClassId,
    ev.severity AS severity,
    ev.task_display_name AS taskDisplayName,
    ev.product_name AS product_name,
    ev.product_displ_version AS product_version,
    ev.event_type AS externalId,
    ev.event_type_display_name AS event_subcode,
    ev.descr AS msg,
    CASE
        WHEN ev.rise_time IS NOT NULL THEN DATE_ADD(ev.rise_time, INTERVAL TIMESTAMPDIFF(HOUR, UTC_TIMESTAMP(), NOW()) HOUR)
        ELSE ev.rise_time
    END AS endTime,
    CASE
        WHEN ev.registration_time IS NOT NULL THEN DATE_ADD(ev.registration_time, INTERVAL TIMESTAMPDIFF(HOUR, UTC_TIMESTAMP(), NOW()) HOUR)
        ELSE ev.registration_time
    END AS kscRegistrationTime,
    CAST(ev.par7 AS CHAR(4000)) AS sourceUserName,
    hs.wstrWinName AS dHost,
    hs.wstrWinDomain AS strNtDom,
    serv.wstrWinName AS kscName,
    CONCAT(
        FLOOR(hs.nIp / 256 / 256 / 256 % 256), '.',
        FLOOR(hs.nIp / 256 / 256 % 256), '.',
        FLOOR(hs.nIp / 256 % 256), '.',
        FLOOR(hs.nIp % 256)
    ) AS sourceAddress,
    serv.wstrWinDomain AS kscNtDomain,
    CONCAT(
        FLOOR(serv.nIp / 256 / 256 / 256 % 256), '.',
        FLOOR(serv.nIp / 256 / 256 % 256), '.',
        FLOOR(serv.nIp / 256 % 256), '.',
        FLOOR(serv.nIp % 256)
    ) AS kscIP,
    CASE
        WHEN virus.tmVirusFoundTime IS NOT NULL THEN DATE_ADD(virus.tmVirusFoundTime, INTERVAL TIMESTAMPDIFF(HOUR, UTC_TIMESTAMP(), NOW()) HOUR)
        ELSE ev.registration_time
    END AS virusTime,
    virus.wstrObject AS filePath,
    virus.wstrVirusName AS virusName,
    virus.result_ev AS result
FROM kav.ev_event AS ev
LEFT JOIN kav.v_akpub_host AS hs ON ev.nHostId = hs.nId
INNER JOIN kav.v_akpub_host AS serv ON serv.nId = 1
LEFT JOIN kav.rpt_viract_index AS virus ON ev.event_type_id = virus.nEventVirus
WHERE
 ev.event_id > ? ORDER BY ev.event_id ASC

База данных: MySQL.
Интервал запроса: 15.
Поле идентификатора:
- Ключ: event_id.
- Значение: 1.
Строка подключения в секрете:
```
jdbc:mysql://DBSERVER:3306/kav?user=kasper&password=passw0rd
```
Здесь:
- DBSERVER-- FQDN или IP-адрес сервера СУБД.
- 3306-- порт подключения

Добавьте нормализатор с правилом "Kaspersky Security Center".
Добавьте конечную точку типа Хранилище событий.
Установите конфигурацию конвейера.

Если настройка выполнена корректно, в хранилище начнут поступать события из MySQL.

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.