Support

Support für Unternehmensanwendungen

Kaspersky Web Traffic Security 6.x

Programmereignissen in einem SIEM-System ausgeben

Ausgabe von von Programmereignissen in einem SIEM-System konfigurieren

Kaspersky Web Traffic Security 6.x
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Systemvoraussetzungen Herunterladen Forum Support kontaktieren Tools zur Wiederherstellung Produktvideos

Ausgabe von von Programmereignissen in einem SIEM-System konfigurieren

13. Dezember 2023

ID 267199

Um das Ausgeben von Programmereignissen im Technical Support Mode zu konfigurieren, müssen Sie zunächst den öffentlichen SSH-Schlüssel in der Weboberfläche des Programms hochladen.

Befolgen Sie die nachstehenden Anweisungen für jeden Cluster-Knoten, von dem Sie die Ereignisse in einem SIEM-System ausgeben möchten. Das Aktivieren des Ereignisexports im CEF-Format sollte erst nach dem Einrichten der Ereignisausgabe stattfinden.

So konfigurieren Sie die Ausgabe von Programmereignissen in ein SIEM-System:

  1. Wenn Kaspersky Web Traffic Security aus einer ISO-Datei installiert wurde, stellen Sie mittels privaten SSH-Schlüssel und unter dem root-Benutzerkonto eine Verbindung zur Verwaltungskonsole der virtuellen Maschine mit Kaspersky Web Traffic Security her. Sie gelangen in den Technical Support Mode.

    Wenn Kaspersky Web Traffic Security aus einem RPM- oder Deb-Paket installiert wurde, starten Sie die Befehls-Shell des Betriebssystems, um darin als Superuser (Systemadministrator) Befehle auszuführen.

  2. Die Ereignisse werden mithilfe des "rsyslog"-Dienstes zur Systemprotokollierung an ein externes SIEM-System gesendet. Überprüfen Sie mit dem folgenden Befehl, ob der Dienst installiert ist und ausgeführt wird:

    systemctl status rsyslog

    Der Status des Dienstes sollte running anzeigen.

    Wenn der "rsyslog'-Dienst nicht ausgeführt wird oder fehlt, installieren und aktivieren Sie diesen Dienst gemäß der Dokumentation Ihres Betriebssystems.

  3. Geben Sie die Adresse und den Port für die Verbindung zum Server mit dem SIEM-System an. Erstellen Sie dazu die Datei "/etc/rsyslog.d/kwts-cef-messages.conf" und fügen Sie ihr die folgenden Zeilen hinzu:

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@<IP-Adresse des SIEM-Systems>:<TCP-Port, auf dem das SIEM-System Syslog-Nachrichten empfängt>

    local5.* stop

    Beispiel:

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@10.16.32.64:514

    local5.* stop
  4. Starten Sie den Dienst "rsyslog" neu. Führen Sie dazu den folgenden Befehl aus:

    systemctl restart rsyslog

  5. Überprüfen Sie den Status des "rsyslog"-Dienstes mit dem folgenden Befehl:

    systemctl status rsyslog

    Der Status sollte running anzeigen.

  6. Senden Sie mit dem folgenden Befehl eine Testnachricht an das SIEM-System:

    logger -p local5.info Test message

Die Ausgabe von Programmereignissen in das SIEM-System ist konfiguriert.

Kaspersky Endpoint Security for Business Advanced:
Adaptive Sicherheit für Ihr Unternehmen
Web- und Gerätekontrolle. Datenverschlüsselung. Simples und benutzerfreundliches Sicherheitsmanagement über eine Konsole.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.