Работа с фильтрами и директивами от источников SQL-коллектора на примере KSC 13
Эта страница была отправлена в архив, поскольку больше не является актуальной и была написана для KOMRAD Enterprise SIEM версии 4.1.33. |
Настройка источников сбора
Настройка Kaspersky Security Center 13 (далее - KSC 13)
-
Установить KSC 13 на Windows 10
-
Установить Microsoft SQL
-
Настроить TCP-порт для подключения к БД. Открыть SQL Server Configuration Manager → Сетевая конфигурация SQL Server → Протоколы для «Название БД KSC 13» → IP-адреса → Указать во всех полях «TCP-порт» порт 1433
-
Создать инсталляционный пакет Kaspersky Endpoint Security 11.6.0
Настройка Kaspersky Endpoint Security 11.6.0 (далее - KES)
-
Установить Агент KSC 13 на предполагаемый источник сбора событий (другая машина на ОС Windows 10)
-
Поместить в источник в одну подсеть с KSC 13
-
Добавить источник на Сервере администрирования
-
Установить заранее подготовленный инсталляционный пакет KES
-
Добавить и активировать Политику KES
Настройка KOMRAD Enterprise SIEM
-
В веб-интерфейсе KOMRAD перейти во вкладку Администрирование → Настройка коллекторов → Коллекторы → SQL
-
Кликнуть на «Название» нужного SQL-коллектора
-
Создать источник, нажав на кнопку «+»
-
Выберите «Тип БД» MySQL
-
-
Выбрать шаблон Kaspersky – «Сбор событий антивируса»
-
В блоке «Строка подключения» указать логин:пароль к БД KSC 13 и название БД KSC 13
-
В регулярном запросе изменить «SELECT TOP 5» на «SELECT TOP 100»
-
Нажать кнопку «Проверить». В случае вывода ошибки – исправить
-
Нажать кнопку «Сохранить».
Подключение к графическому интерфейсу Сервера администрирования KSC 13
Пример получаемого события
{"Date":"2022-02-08T07:58:02.527Z","Description":"Пользователь \"DESKTOP-0TFD84M\\admin\" подключился к Серверу администрирования c адреса \"127.0.0.1\".","DisplayName":"Аудит (подключение к Серверу администрирования)","EventID":193,"EventType":"KLAUD_EV_SERVERCONNECT","HostID":1,"IP":"127.0.0.1","Par1":null,"Par2":"127.0.0.1","Par3":"DESKTOP-0TFD84M\\admin","Par4":null}
Вход в веб-интерфейс Сервера администрирования KSC 13 (в браузере)

Добавление поля «Description» в Пользовательские поля
Перейти во вкладку Администрирование → Настройка коллекторов → Поля событий → Пользовательские поля


Перезапуск komrad-server или ожидание 5 минут
sudo systemctl restart komrad-server
Повторная отправка события
Получить следующий результат:

Создание фильтра для поиска события по входу в Сервер администрирования KSC 13

Создание директивы для выявления инцидента по фильтру «Вход в Сервер администрирования KSC 13»

Антивирусное сканирование. Обнаружение вируса
Создание и запуск задачи «Антивирусное сканирование»

Добавление поля «DisplayName» в Пользовательские поля

Перезапуск komrad-server или ожидание 5 минут
sudo systemctl restart komrad-server
Повторная отправка события
Получить следующий результат:

Создание фильтра для поиска события «Обнаружен вредоносный объект»

Создание директивы для выявления инцидента по фильтру «Обнаружен вредоносный объект KES»
