Работа с фильтрами и директивами от источников SQL-коллектора на примере KSC 13

Эта страница была отправлена в архив, поскольку больше не является актуальной и была написана для KOMRAD Enterprise SIEM версии 4.1.33.

Настройка источников сбора

Настройка Kaspersky Security Center 13 (далее - KSC 13)

  • Установить KSC 13 на Windows 10

  • Установить Microsoft SQL

  • Настроить TCP-порт для подключения к БД. Открыть SQL Server Configuration Manager → Сетевая конфигурация SQL Server → Протоколы для «Название БД KSC 13» → IP-адреса → Указать во всех полях «TCP-порт» порт 1433

  • Создать инсталляционный пакет Kaspersky Endpoint Security 11.6.0

Настройка Kaspersky Endpoint Security 11.6.0 (далее - KES)

  • Установить Агент KSC 13 на предполагаемый источник сбора событий (другая машина на ОС Windows 10)

  • Поместить в источник в одну подсеть с KSC 13

  • Добавить источник на Сервере администрирования

  • Установить заранее подготовленный инсталляционный пакет KES

  • Добавить и активировать Политику KES

Настройка KOMRAD Enterprise SIEM

  • В веб-интерфейсе KOMRAD перейти во вкладку Администрирование → Настройка коллекторов → Коллекторы → SQL

  • Кликнуть на «Название» нужного SQL-коллектора

  • Создать источник, нажав на кнопку «+»

    1. Выберите «Тип БД» MySQL

  • Выбрать шаблон Kaspersky – «Сбор событий антивируса»

  • В блоке «Строка подключения» указать логин:пароль к БД KSC 13 и название БД KSC 13

  • В регулярном запросе изменить «SELECT TOP 5» на «SELECT TOP 100»

  • Нажать кнопку «Проверить». В случае вывода ошибки – исправить

  • Нажать кнопку «Сохранить».

Подключение к графическому интерфейсу Сервера администрирования KSC 13

Пример получаемого события

{"Date":"2022-02-08T07:58:02.527Z","Description":"Пользователь \"DESKTOP-0TFD84M\\admin\" подключился к Серверу администрирования c адреса \"127.0.0.1\".","DisplayName":"Аудит (подключение к Серверу администрирования)","EventID":193,"EventType":"KLAUD_EV_SERVERCONNECT","HostID":1,"IP":"127.0.0.1","Par1":null,"Par2":"127.0.0.1","Par3":"DESKTOP-0TFD84M\\admin","Par4":null}

Вход в веб-интерфейс Сервера администрирования KSC 13 (в браузере)

Вход в граф интер KSC13

Добавление поля «Description» в Пользовательские поля

Перейти во вкладку Администрирование → Настройка коллекторов → Поля событий → Пользовательские поля

Добавление Поля «Description»
Поле «Description»

Перезапуск komrad-server или ожидание 5 минут

sudo systemctl restart komrad-server

Повторная отправка события

Получить следующий результат:

Результат Добавление Поля «Description»

Создание фильтра для поиска события по входу в Сервер администрирования KSC 13

Фильтр по входу в KSC13

Создание директивы для выявления инцидента по фильтру «Вход в Сервер администрирования KSC 13»

Директива по входу в KSC13

Антивирусное сканирование. Обнаружение вируса

Создание и запуск задачи «Антивирусное сканирование»

Нормализация события с KSC из коробки

Добавление поля «DisplayName» в Пользовательские поля

Поле «DisplayName»

Перезапуск komrad-server или ожидание 5 минут

sudo systemctl restart komrad-server

Повторная отправка события

Получить следующий результат:

Результат Добавление Поля «DisplayName»

Создание фильтра для поиска события «Обнаружен вредоносный объект»

Фильтр для поиска Обнаруж вредонос объект

Создание директивы для выявления инцидента по фильтру «Обнаружен вредоносный объект KES»

Директива для поиска Обнаруж вредонос объект