- 卡巴斯基容器安全 2.0 帮助
- 关于卡巴斯基容器安全平台
- 解决方案架构
- 标准部署方案
- 准备安装解决方案
- 解决方案安装
- 删除解决方案
- 更新解决方案
- 解决方案界面
- 授权解决方案
- 数据提供
- 使用集群
- 处理仓库的镜像
- 调查安全事件
- 与第三方资源的集成
- 安全策略配置
- 合规性检查
- 配置和生成报告
- 文件威胁防护
- 用户、角色和范围
- 使用卡巴斯基容器安全 OpenAPI
- 安全事件日志
- 有关解决方案组件状态的信息
- 确保组件的安全性和可靠性
- 管理数据积累动态
- 备份和恢复数据
- 联系技术支持
- 应用程序的信息来源
- 限制和警告
- 第三方服务中的漏洞
- 词汇表
- 第三方代码信息
- 商标声明
- ATT&CK MITRE 使用条款
为卡巴斯基容器安全创建数据库
要为卡巴斯基容器安全创建数据库:
在工作站上的 ClickHouse 中,运行以下命令:
CREATE DATABASE IF NOT EXISTS kcs
其中 kcs 是卡巴斯基容器安全数据库的名称。
要配置为卡巴斯基容器安全所创建的数据库的设置:
- 添加用户并定义他们的授权方法。为此,您必须执行以下操作:
- 添加以下用户:
- 有权读取卡巴斯基容器安全核心所接收数据的用户(读取者)。
<roles><kcs_reader_role><grants><query>GRANT SELECT ON kcs.*</query></grants></kcs_reader_role> - 有权写入来自外部代理请求的数据的用户(写入者)。
<roles><kcs_writer_role><grants><query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query><query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query></grants></kcs_writer_role>
- 有权读取卡巴斯基容器安全核心所接收数据的用户(读取者)。
- 指定用户授权方法:使用密码或证书。
<clickhouse>...<kcsuser-write><password>*********</password><networks><ip>::/0</ip></networks>...<grants><query>GRANT kcs_writer_role</query></grants></kcsuser-write><kcsuser-read><password>*********</password><networks><ip>::/0</ip></networks>...<grants><query>GRANT kcs_reader_role</query></grants></kcsuser-read>...<roles><kcs_reader_role><grants><query>GRANT SELECT ON kcs.*</query></grants></kcs_reader_role><kcs_writer_role><grants><query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query><query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query></grants></kcs_writer_role>...</roles>...</clickhouse><clickhouse>...<kcsuser-write><ssl_certificates><common_name>kcsuser-write</common_name></ssl_certificates><networks><ip>::/0</ip></networks>...<grants><query>GRANT kcs_writer_role</query></grants></kcsuser-write><kcsuser-read><ssl_certificates><common_name>kcsuser-read</common_name></ssl_certificates><networks><ip>::/0</ip></networks>...<grants><query>GRANT kcs_reader_role</query></grants></kcsuser-read>...<roles><kcs_reader_role><grants><query>GRANT SELECT ON kcs.*</query></grants></kcs_reader_role><kcs_writer_role><grants><query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query><query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query></grants></kcs_writer_role>...</roles>...</clickhouse>
- 添加以下用户:
- 指定用于短期和长期数据存储的磁盘。与 ClickHouse 配合使用时,卡巴斯基容器安全可以存储具备不同保留期的大量数据。默认情况下,事件的主要部分最多存储 30 分钟,而事故相关信息最多存储 90 天。由于事件记录需要大量资源来确保较高的记录速度和足够的磁盘空间,因此推荐使用不同的磁盘来分别进行短期和长期数据存储。
<clickhouse>
...
<storage_configuration>
<disks>
<kcs_disk_hot>
<path>/etc/clickhouse/hot/</path>
</kcs_disk_hot>
<kcs_disk_cold>
<path>/etc/clickhouse/cold/</path>
</kcs_disk_cold>
</disks>
<policies>
<kcs_default>
<volumes>
<default>
<disk>kcs_disk_hot</disk>
</default>
<cold>
<disk>kcs_disk_cold</disk>
</cold>
</volumes>
</kcs_default>
</policies>
</storage_configuration>
...
</clickhouse>