Konfiguration von Kaspersky Security Center für den Export an ein SIEM-System

Alle erweitern | Alles ausblenden

Dieser Abschnitt beschreibt, wie Sie den Export von Ereignissen in ein SIEM-System konfigurieren.

So konfigurieren Sie den Export in SIEM-Systeme in Kaspersky Security Center 13.2 Web Console:

1. Wählen Sie in der Dropdown-Liste Konsolen-Einstellungen die Option Integration.

   Das Fenster Konsolen-Einstellungen wird geöffnet.

2. Wählen Sie die Registerkarte Integration aus.
3. Wählen Sie auf der Registerkarte Integration den Abschnitt SIEM aus.
4. Klicken Sie auf den Link Einstellungen.

   Der Abschnitt Einstellungen exportieren wird geöffnet.

5. Legen Sie im Abschnitt Einstellungen exportieren die Einstellungen fest:
   • Serveradresse des SIEM-Systems

     IP-Adresse des Servers, auf dem das verwendete SIEM-System installiert ist. Dieser Wert muss in den Einstellungen des SIEM-Systems genau bestimmt werden.

   • Port des SIEM-Systems

     Port, über den eine Verbindung zwischen Kaspersky Security Center und dem Server des SIEM-Systems hergestellt wird. Dieser Wert muss in den Einstellungen von Kaspersky Security Center und in den Einstellungen des Empfängers im SIEM-System angegeben werden.

   • Protokoll

     Wählen Sie das Übertragungsprotokoll für Nachrichten ins SIEM-System aus. Sie können entweder die Protokolle TCP/IP, UDP oder TLS over TCP auswählen.

     Wenn Sie das Protokoll TLS over TCP auswählen, geben Sie die folgenden TLS-Einstellungen an:

     • Authentifizierung des Servers

       In dem Feld Authentifizierung des Servers können Sie die Vertrauenswürdige Zertifikate oder Werte der SHA-Fingerabdrücke auswählen:

       • Vertrauenswürdige Zertifikate. Sie können eine Datei bekommen, die eine Liste mit Zertifikaten von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority – CA) enthält, und diese Datei in Kaspersky Security Center hochladen. Kaspersky Security Center prüft, ob das Zertifikat des SIEM-Servers auch von einer vertrauenswürdigen CA signiert ist oder nicht.

         Um ein vertrauenswürdiges Zertifikat hinzuzufügen, klicken Sie auf die Schaltfläche CA-Zertifikatsdatei auswählen und laden Sie anschließend das Zertifikat hoch.

       • SHA-Fingerabdrücke. In Kaspersky Security Center können Sie die SHA-1-Fingerabdrücke der Zertifikate von SIEM-Systemen angeben. Um einen SHA-1-Fingerabdruck hinzuzufügen, geben Sie ihn in das Feld Fingerabdrücke ein und klicken Sie anschließend auf die Schaltfläche Hinzufügen.

       Durch Verwendung der Einstellung Client-Authentifizierung hinzufügen können Sie ein Zertifikat generieren, um Kaspersky Security Center zu authentifizieren. Infolge dessen verwenden Sie ein selbstsigniertes Zertifikat, das von Kaspersky Security Center ausgestellt wurde. In diesem Fall können Sie sowohl ein vertrauenswürdiges Zertifikat als auch einen SHA-Fingerabdruck verwenden, um den SIEM-Systemserver zu authentifizieren.

     • Namen des Antragstellers/des alternativen Antragstellers hinzufügen

       Der Antragstellername ist ein Domänenname, für den das Zertifikat empfangen wird. Kaspersky Security Center kann keine Verbindung zu einem SIEM-System-Server herstellen, wenn der Domänenname des SIEM-System-Servers nicht mit dem Antragstellernamen des Zertifikats des SIEM-System-Servers übereinstimmt. Der SIEM-Systemserver kann jedoch seinen Domänennamen ändern, wenn sich der Name im Zertifikat geändert hat. In diesem Fall können Sie die Antragstellernamen im Feld Namen des Antragstellers/des alternativen Antragstellers hinzufügen angeben. Wenn einer der angegebenen Antragstellernamen mit dem Antragsteller des Zertifikats für das SIEM-Systems übereinstimmt, validiert Kaspersky Security Center das Zertifikat dieses SIEM-Systems.

     • Client-Authentifizierung hinzufügen

       Um die Client-Authentifizierung durchzuführen, können Sie entweder Ihr Zertifikat einfügen oder es im Kaspersky Security Center generieren.

       • Zertifikat eingeben. Sie können ein Zertifikat verwenden, das Sie von einer beliebigen Quelle erhalten haben, beispielsweise von einer vertrauenswürdigen CA. Sie müssen das Zertifikat und seinen privaten Schlüssel angeben, indem Sie einen der folgenden Zertifikat-Typen verwenden:
         • X.509-Zertifikat PEM. Laden Sie jeweils eine Datei mit Zertifikat über das Feld Zertifikatsdatei und eine Datei mit privatem Schlüssel über das Feld Schlüsseldatei hoch. Beide Dateien sind unabhängig voneinander und die Reihenfolge für das Hochladen der Dateien ist spielt keine Rolle. Wenn beide Dateien hochgeladen sind, geben Sie das Kennwort zum Entschlüsseln des privaten Schlüssels in dem Feld Überprüfung von Passwort oder Zertifikat an. Das Kennwort kann einen leeren Wert haben, wenn der private Schlüssel nicht verschlüsselt ist.
         • X.509-Zertifikat PKCS12. Laden Sie in dem Feld Zertifikatsdatei eine Datei hoch, die ein Zertifikat und dessen privaten Schlüssel enthält. Geben Sie nach dem Hochladen der Datei das Kennwort zum Entschlüsseln des privaten Schlüssels in dem Feld Überprüfung von Passwort oder Zertifikat an. Das Kennwort kann einen leeren Wert haben, wenn der private Schlüssel nicht verschlüsselt ist.
       • Schlüssel generieren. Sie können in Kaspersky Security Center ein selbstsigniertes Zertifikat generieren. Infolge dessen speichert Kaspersky Security Center das generierte selbstsignierte Zertifikat und Sie können den öffentlichen Teil des Zertifikats oder den SHA1-Fingerabdruck an das SIEM-System übergeben.
   • Datumsformat

     Entsprechend den Anforderungen Ihres SIEM-Systems können Sie die Formate Syslog, CEF oder LEEF auswählen.

   Wenn Sie als Format "Syslog" auswählen, müssen Sie folgendes angeben:

   • Maximale Größe der Ereignisnachricht in Byte

     Geben Sie die maximale Größe der Nachricht in Byte an, die an das SIEM-System übertragen wird. Jedes Ereignis wird in einer Nachricht übermittelt. Wenn die reale Länge der Nachricht den angegebenen Wert überschreitet, wird die Nachricht abgeschnitten und Daten können verloren gehen. Standardmäßig beträgt die Größe der Nachricht 2048 Bytes. Dieses Feld ist nur verfügbar, falls Sie im Feld Protokoll das Format Syslog ausgewählt haben.

6. Setzen Sie die Option auf die Position Auto-Exportieren von Ereignissen in die Datenbank des SIEM-Systems Aktiviert.
7. Klicken Sie auf die Schaltfläche Speichern.

Der Export in das SIEM-System ist konfiguriert.