Support

Solutions pour les entreprises

Kaspersky Web Traffic Security 6.x

Publication des événements de l'application dans le système SIEM

Mise en place de la publication des événements de l'application dans le système SIEM

Kaspersky Web Traffic Security 6.x
Нет результатов
Base de connaissances Aide en ligne
Foire aux questions Configuration requise Télécharger Forum Contacter le support Outils de désinfection Tutoriels vidéos

Mise en place de la publication des événements de l'application dans le système SIEM

13 décembre 2023

ID 267199

Pour configurer la publication des événements en mode Support Technique, vous devez d'abord télécharger la clé publique SSH dans l'interface web de l'application.

Suivez les instructions ci-dessous sur chaque nœud de cluster à partir duquel vous souhaitez publier des événements dans le système SIEM. Ce n'est qu'après avoir configuré la publication des événements que vous devez activer l'exportation des événements au format CEF.

Pour configurer la publication des événements d'application sur le système SIEM :

  1. Si Kaspersky Web Traffic Security a été installé à partir d'un fichier ISO, connectez-vous à la console d'administration de la machine virtuelle Kaspersky Web Traffic Security sous le compte root à l'aide de la clé privée SSH. Vous entrerez en mode Support Technique.

    Si Kaspersky Web Traffic Security a été installé à partir d'un paquet rpm ou deb, lancez le shell de commande du système d'exploitation pour exécuter les commandes avec les privilèges de superutilisateur (administrateur système).

  2. Les événements sont envoyés à un système SIEM externe à l'aide du service de journalisation système rsyslog. Vérifiez que le service est installé et exécuté à l'aide de la commande :

    systemctl status rsyslog

    L'état du service doit être en cours d'exécution.

    Si le service rsyslog n'est pas en cours d'exécution ou est absent, installez et activez le service rsyslog conformément à la documentation de votre système d'exploitation.

  3. Spécifiez l'adresse et le port de connexion au serveur avec le système SIEM. Pour cela, créez un fichier /etc/rsyslog.d/kwts-cef-messages.conf et ajoutez-y les lignes suivantes :

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@<adresse IP du système SIEM> :<port sur lequel le système SIEM reçoit les messages de Syslog via TCP>

    local5.* stop

    Exemple :

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@10.16.32.64:514

    local5.* stop
  4. Relancez le service rsyslog. Pour ce faire, saisissez la commande :

    systemctl restart rsyslog

  5. Vérifiez l'état du service rsyslog à l'aide de la commande :

    systemctl status rsyslog

    L'état doit être en cours d'exécution.

  6. Envoyez un message de test au système SIEM à l'aide de la commande :

    logger -p local5.info Test message

La publication des événements de l'application sur le système SIEM sera configurée.

Kaspersky Endpoint Security for Business Advanced : sécurité adaptative qui détecte les menaces les plus sophistiquées
Contrôle des terminaux avancé. Contrôle adaptatif des anomalies. Chiffrement de données. Geston flexible via une console centralisée.
Services d'assistance haut de gamme : traitement prioritaire des incidents
Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.
Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.