Criação de banco de dados para o Kaspersky Container Security

Para criar um banco de dados para o Kaspersky Container Security

No ClickHouse na estação de trabalho, execute o seguinte comando:

CREATE DATABASE IF NOT EXISTS kcs

em que kcs é o nome do banco de dados do Kaspersky Container Security.

Para configurar o banco de dados criado para o Kaspersky Container Security:

1. Adicione usuários e define o método de autorização deles. Para isso, faça o seguinte:
   1. Adicione os seguintes usuários:
      • um usuário com direitos de leitura dos dados recebidos pelo núcleo do Kaspersky Container Security (leitor).

        <roles>

        </kcs_reader_role>

        </grants>

        <query>GRANT SELECT ON kcs.*</query>

        </grants>

        </kcs_reader_role>

      • um usuário com direitos de gravação dos dados de solicitações de agentes externos (gravador).

        <roles>

        </kcs_writer_role>

        </grants>

        <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

        <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

        </grants>

        </kcs_writer_role>

   2. Especifique o método de autorização do usuário: com uma senha ou um certificado.

      Exemplo de configuração de usuários com autenticação por senha

      <clickhouse>

      ...

      </kcsuser-write>

      <password>*********</password>

      </networks>

      <ip>::/0</ip>

      </networks>

      ...

      </grants>

      <query>GRANT kcs_writer_role</query>

      </grants>

      </kcsuser-write>

      </kcsuser-read>

      <password>*********</password>

      </networks>

      <ip>::/0</ip>

      </networks>

      ...

      </grants>

      <query>GRANT kcs_reader_role</query>

      </grants>

      </kcsuser-read>

      ...

      </roles>

      </kcs_reader_role>

      </grants>

      <query>GRANT SELECT ON kcs.*</query>

      </grants>

      </kcs_reader_role>

      </kcs_writer_role>

      </grants>

      <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

      <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

      </grants>

      </kcs_writer_role>

      ...

      </roles>

      ...

      </clickhouse>

      Exemplo de configuração de usuários com autenticação por certificado

      <clickhouse>

      ...

      </kcsuser-write>

      </ssl_certificates>

      <common_name>kcsuser-write</common_name>

      </ssl_certificates>

      </networks>

      <ip>::/0</ip>

      </networks>

      ...

      </grants>

      <query>GRANT kcs_writer_role</query>

      </grants>

      </kcsuser-write>

      </kcsuser-read>

      </ssl_certificates>

      <common_name>kcsuser-read</common_name>

      </ssl_certificates>

      </networks>

      <ip>::/0</ip>

      </networks>

      ...

      </grants>

      <query>GRANT kcs_reader_role</query>

      </grants>

      </kcsuser-read>

      ...

      </roles>

      </kcs_reader_role>

      </grants>

      <query>GRANT SELECT ON kcs.*</query>

      </grants>

      </kcs_reader_role>

      </kcs_writer_role>

      </grants>

      <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

      <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

      </grants>

      </kcs_writer_role>

      ...

      </roles>

      ...

      </clickhouse>

2. Especifique discos para armazenamento de dados a longo e a curto prazo. Ao trabalhar com o ClickHouse, o Kaspersky Container Security pode armazenar uma grande quantidade de dados com diversos períodos de retenção. Por padrão, a maioria dos eventos é armazenada por no máximo 30 minutos, enquanto informações sobre incidentes são armazenadas por até 90 dias. Como o registro de eventos exige recursos consideráveis para garantir uma alta velocidade de registro e a provisão de espaço em disco, recomendamos usar discos diferentes para armazenamento de dados a longo e a curto prazo.

   Exemplo de configuração de armazenamento de dados

   <clickhouse>

   ...

   </storage_configuration>

   </disks>

   </kcs_disk_hot>

   <path>/etc/clickhouse/hot/</path>

   </kcs_disk_hot>

   </kcs_disk_cold>

   <path>/etc/clickhouse/cold/</path>

   </kcs_disk_cold>

   </disks>

   </policies>

   </kcs_default>

   </volumes>

   </default>

   <disk>kcs_disk_hot</disk>

   </default>

   </cold>

   <disk>kcs_disk_cold</disk>

   </cold>

   </volumes>

   </kcs_default>

   </policies>

   </storage_configuration>

   ...

   </clickhouse>