Kaspersky Container Security
2.0
Español ‪(España)

Contenido

Crear una base de datos para Kaspersky Container Security

Para crear una base de datos para Kaspersky Container Security, realice lo siguiente:

En ClickHouse, en la estación de trabajo, ejecute el siguiente comando:

CREATE DATABASE IF NOT EXISTS kcs

donde kcs es el nombre de la base de datos para Kaspersky Container Security.

Para configurar la base de datos creada para Kaspersky Container Security:

  1. Añada usuarios y defina el método de autorización. Para ello, debe realizar las siguientes acciones:
    1. Añada los siguientes usuarios:
      • un usuario con derechos para leer los datos que recibe el núcleo de Kaspersky Container Security (lectura)

        <roles>

        <kcs_reader_role>

        <grants>

        <query>GRANT SELECT ON kcs.*</query>

        </grants>

        </kcs_reader_role>

      • un usuario con derechos para escribir datos a partir de solicitudes de agentes externos (escritura)

        <roles>

        <kcs_writer_role>

        <grants>

        <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

        <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

        </grants>

        </kcs_writer_role>

    2. Especifique el método para autorizar usuarios: con una contraseña o mediante un certificado.

      Ejemplo de configuración de usuarios con autenticación mediante contraseña

      <clickhouse>

      ...

      <kcsuser-write>

      <password>*********</password>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_writer_role</query>

      </grants>

      </kcsuser-write>

      <kcsuser-read>

      <password>*********</password>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_reader_role</query>

      </grants>

      </kcsuser-read>

      ...

      <roles>

      <kcs_reader_role>

      <grants>

      <query>GRANT SELECT ON kcs.*</query>

      </grants>

      </kcs_reader_role>

      <kcs_writer_role>

      <grants>

      <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

      <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

      </grants>

      </kcs_writer_role>

      ...

      </roles>

      ...

      </clickhouse>

      Ejemplo de configuración de usuarios con autenticación mediante certificados

      <clickhouse>

      ...

      <kcsuser-write>

      <ssl_certificates>

      <common_name>kcsuser-write</common_name>

      </ssl_certificates>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_writer_role</query>

      </grants>

      </kcsuser-write>

      <kcsuser-read>

      <ssl_certificates>

      <common_name>kcsuser-read</common_name>

      </ssl_certificates>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_reader_role</query>

      </grants>

      </kcsuser-read>

      ...

      <roles>

      <kcs_reader_role>

      <grants>

      <query>GRANT SELECT ON kcs.*</query>

      </grants>

      </kcs_reader_role>

      <kcs_writer_role>

      <grants>

      <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

      <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

      </grants>

      </kcs_writer_role>

      ...

      </roles>

      ...

      </clickhouse>

  2. Especifique los discos para el almacenamiento de datos a corto y largo plazo. Al trabajar con ClickHouse, Kaspersky Container Security puede almacenar grandes cantidades de datos con diversos períodos de retención. De forma predeterminada, la mayoría de los eventos se almacenan durante 30 minutos como máximo, mientras que la información sobre incidentes se almacena durante 90 días como máximo. Dado que la grabación de eventos requiere una cantidad considerable de recursos, para garantizar una velocidad de grabación alta y suficiente espacio en disco, se recomienda usar diferentes discos para el almacenamiento de datos a corto y largo plazo.

    Ejemplo de la configuración del almacenamiento de datos

    <clickhouse>

    ...

    <storage_configuration>

    <disks>

    <kcs_disk_hot>

    <path>/etc/clickhouse/hot/</path>

    </kcs_disk_hot>

    <kcs_disk_cold>

    <path>/etc/clickhouse/cold/</path>

    </kcs_disk_cold>

    </disks>

    <policies>

    <kcs_default>

    <volumes>

    <default>

    <disk>kcs_disk_hot</disk>

    </default>

    <cold>

    <disk>kcs_disk_cold</disk>

    </cold>

    </volumes>

    </kcs_default>

    </policies>

    </storage_configuration>

    ...

    </clickhouse>

Inicio de página

[Topic 298742]