Kaspersky Security Center: сбор из СУБД MS SQL

Предварительные требования

Сетевая доступность сервера СУБД Kaspersky Security Center по целевому порту и протоколу для каждой ноды кластера SIEM.
Учетная запись в СУБД с правами на чтение таблицы kav.dbo.ev_event (сбор событий из БД).

Настройка СУБД MS SQL

События Kaspersky Security Center записываются в таблицу ev_event базы данных KAV СУБД MS SQL. Для настройки сбора логов из базы данных необходимо к ней подключиться. Используйте для подключения специально созданную сервисную учетную запись (далее — УЗ).

Создание учетной записи в СУБД MS SQL

Чтобы создать сервисную УЗ, подключитесь к СУБД с правами администратора. Для этого выполните следующие действия в SQL Server Management Studio:

Выберите New Login в контекстном меню для Security/Logins.
Создайте сервисную учетную запись.

Вместо локальной УЗ вы также можете использовать заранее созданную доменную.
Предоставьте учетной записи права на чтение базы KAV.

Настройка сервера MS SQL

В настройках SQL Server Configuration Manager убедитесь, что TCP/IP включен в конфигурации сети SQL Server.

kaspersky security center mssql 5

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте секрет со строкой подключения. Для этого:
1. Перейдите в Ресурсы → Секреты → Создать.
2. В раскрывшемся окне создания секрета заполните поля:
  - Название: введите название секрета.
  - Описание (опционально): опишите, для чего будет использоваться секрет.
  - Тип секрета: выберите вариант Строка подключения.
  - Строка подключения — введите строку вида:
    
    jdbc:sqlserver://DBSERVER:1433;encrypt=false;databaseName=KAV;user=kasper;password=passw0rd
    
    Строка подключения в секрете в случае использования доменной учетной записи:
    
    jdbc:sqlserver://DBSERVER:1433;encrypt=false;databaseName=KAV;authenticationScheme=NTLM;integratedSecurity=true;user=srv_ksc;password=P@ssw0rd
    
    Здесь:
    
    DBSERVER — FQDN или IP-адрес сервера СУБД.
    
    1433 — порт подключения.
3. Нажмите на кнопку Создать.
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

Добавьте на конвейер элемент Точка входа со следующими параметрами:

Название: введите название точки входа.
Тип точки входа: выберите вариант Database.
Драйвер базы данных: выберите вариант MS SQL.
Адрес подключения: выберите секрет, созданный ранее.

SQL-запрос — введите запрос вида:

SELECT
    TOP 10000 'ksc' AS appname
    , ev.event_id AS event_id
    , ev.event_type_id AS deviceEventClassId
    , ev.severity AS severity
     , ev.task_display_name AS taskDisplayName
     , ev.product_name AS product_name
     , ev.product_displ_version AS product_version
     , ev.event_type AS externalId
     , ev.event_type_display_name AS event_subcode
     , ev.descr AS msg
     , CASE
         WHEN ev.rise_time is not NULL
            THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.rise_time )
            ELSE ev.rise_time END AS endTime
    , CASE
        WHEN ev.registration_time is not NULL
            THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.registration_time )
            ELSE ev.registration_time END AS kscRegistrationTime
     , cast(ev.par7 AS varchar(4000)) AS sourceUserName
     , hs.wstrWinName AS dHost
     , hs.wstrWinDomain AS strNtDom
     , serv.wstrWinName AS kscName
     , CAST(hs.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.'
           + CAST(hs.nIp / 256 / 256 % 256 AS VARCHAR) + '.'
           + CAST(hs.nIp / 256 % 256 AS VARCHAR) + '.'
           + CAST(hs.nIp % 256 AS VARCHAR) AS sourceAddress
     , serv.wstrWinDomain AS kscNtDomain
     , CAST(serv.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.'
       + CAST(serv.nIp / 256 / 256 % 256 AS VARCHAR) + '.'
       + CAST(serv.nIp / 256 % 256 AS VARCHAR) + '.'
       + CAST(serv.nIp % 256 AS VARCHAR) AS kscIP
     , CASE
         WHEN virus.tmVirusFoundTime IS NOT NULL
            THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),virus.tmVirusFoundTime )
            ELSE ev.registration_time END AS virusTime
     , virus.wstrObject AS filePath
     , virus.wstrVirusName AS virusName
     , virus.result_ev AS result
 FROM kav.dbo.ev_event AS ev
 LEFT JOIN kav.dbo.v_akpub_host AS hs
    ON ev.nHostId = hs.nId
 INNER JOIN kav.dbo.v_akpub_host AS serv
    ON serv.nId = 1
 LEFT JOIN kav.dbo.rpt_viract_index AS Virus
    ON ev.event_type_id = virus.nEventVirus
 WHERE event_id > ?

При большом количестве событий в СУБД рекомендуется добавлять TOP 10000 в начало SQL-запроса.

Поле идентификатора: введите ключ event_id со значением 1.
Интервал запроса, секунд: введите значение 15.

Добавьте на конвейер элемент Нормализатор с правилом Kaspersky Security Center (идентификатор правила: RV-N-51).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

kaspersky security center pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события MS SQL.

Найти события Kaspersky Security Center в хранилище можно по следующему фильтру:

sourceServiceName = "KSC"

kaspersky security center ms sql storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?