Работа с фильтрами и директивами от источников SQL-коллектора на примере KSC 13

Эта страница была отправлена в архив, поскольку больше не является актуальной и была написана для KOMRAD Enterprise SIEM версии 4.1.33.

Настройка источников сбора

Настройка Kaspersky Security Center 13 (далее - KSC 13)

Установить KSC 13 на Windows 10
Установить Microsoft SQL
Настроить TCP-порт для подключения к БД. Открыть SQL Server Configuration Manager → Сетевая конфигурация SQL Server → Протоколы для «Название БД KSC 13» → IP-адреса → Указать во всех полях «TCP-порт» порт 1433
Создать инсталляционный пакет Kaspersky Endpoint Security 11.6.0

Настройка Kaspersky Endpoint Security 11.6.0 (далее - KES)

Установить Агент KSC 13 на предполагаемый источник сбора событий (другая машина на ОС Windows 10)
Поместить в источник в одну подсеть с KSC 13
Добавить источник на Сервере администрирования
Установить заранее подготовленный инсталляционный пакет KES
Добавить и активировать Политику KES

Настройка KOMRAD SIEM

В веб-интерфейсе KOMRAD перейти во вкладку Администрирование → Настройка коллекторов → Коллекторы → SQL
Кликнуть на «Название» нужного SQL-коллектора
Создать источник, нажав на кнопку «+»
1. Выберите «Тип БД» MySQL
Выбрать шаблон Kaspersky – «Сбор событий антивируса»
В блоке «Строка подключения» указать логин:пароль к БД KSC 13 и название БД KSC 13
В регулярном запросе изменить «SELECT TOP 5» на «SELECT TOP 100»
Нажать кнопку «Проверить». В случае вывода ошибки – исправить
Нажать кнопку «Сохранить».

Подключение к графическому интерфейсу Сервера администрирования KSC 13

Пример получаемого события

{"Date":"2022-02-08T07:58:02.527Z","Description":"Пользователь \"DESKTOP-0TFD84M\\admin\" подключился к Серверу администрирования c адреса \"127.0.0.1\".","DisplayName":"Аудит (подключение к Серверу администрирования)","EventID":193,"EventType":"KLAUD_EV_SERVERCONNECT","HostID":1,"IP":"127.0.0.1","Par1":null,"Par2":"127.0.0.1","Par3":"DESKTOP-0TFD84M\\admin","Par4":null}

Вход в веб-интерфейс Сервера администрирования KSC 13 (в браузере)