Dr.Web Server с базой SQLite

При установке Dr.Web базой по умолчанию является SQLite. Со списком баз можно ознакомиться на сайте разработчика. SQLite чаще всего используется для локального хранения, поэтому для защищённого сбора необходимо установить локальный агент, который будет по защищённому каналу передавать данные в KOMRAD Enterprise SIEM. В комплект поставки входит SQL-collector для Windows (windows/sql-collector.exe) и Linux (deb/komrad-sql-collector).

Настройка на Windows

  1. На сервере, где лежит база, необходимо загрузить sql-collector.exe и komrad-sql-collector.yaml

  2. В файлах конфигурации komrad-sql-collector.yaml указать messenger

    Адрес интеграционной шины KOMRAD
bus-url: nats://ip адрес:3490

  3. Создать папки C:\Program Files\Echelon\komrad\sql-collector

  4. Положить sql-collector.yaml и sql-collector.exe в папку C:\Program Files\Echelon\komrad\sql-collector

  5. Открыть в данной папке Файл → Запустить PowerShell от имени Администратора и установить sql-collector.exe как службу

    .\sql-collector.exe --service install -c .\komrad-sql-collector.yaml
Ожидаемый ответ: "Successfully sent install signal"

  1. Запустить созданную службу с помощью команды

    .\sql-collector.exe --service start -c .\komrad-sql-collector.yaml
Ожидаемый ответ: "Successfully sent start signal"

Настройка на Linux

  1. На узле-источнике создайте директорию, в которую переместите из дистрибутива KOMRAD deb-пакет komrad-sql-collector.deb

  2. Установите из папки komrad-sql-collector командой:

    sudo dpkg -i ./komrad-sql-collector*.deb

  3. Откройте файл komrad-sql-collector.yaml командой:

    sudo nano /etc/echelon/komrad/komrad-sql-collector.yaml

  4. В файлах конфигурации komrad-sql-collector.yaml указать:

    Адрес интеграционной шины KOMRAD
bus:
    servers:
    - nats://ip_адрес KOMRAD:3490

  5. Сохраните файл и перезагрузите komrad-sql-collector командой:

    sudo systemctl restart komrad-sql-collector.service
Для проверки: systemctl status komrad-sql-collector.service (Должен быть статус: "active" ("running"))

Подключение в UI KOMRAD Enterprise SIEM

  • Во складке Настройки коллекторов → SQL → У Вас появится новый коллектор с именем источника

  • Зайдите в появившейся коллектор и добавьте источник выберете тип базы SQLite

  • В строке подключения:

    • Для Windows → file:C:...\database.sqlite

    • Для Linux → file:/…​/database.sqlite

Убедитесь, что на каталог, где находится файл базы данных, имеются права чтения и исполнения

  • Создайте запрос или используйте шаблон для Dr.Web

  • Нажмите проверить для корректировки запроса

  • Сохраните источник