SIEM 시스템으로 이벤트를 내보내기 위한 Kaspersky Security Center Linux 구성

모두 펼치기 | 모두 접기

이벤트를 SIEM 시스템으로 내보내려면, Kaspersky Security Center Linux에서 내보내기 프로세스를 구성해야 합니다.

Kaspersky Security Center 웹 콘솔에서 SIEM 시스템으로 내보내기를 구성하려면:

1. 메인 메뉴에서 필요한 중앙 관리 서버 이름 옆의 설정 아이콘()을 누릅니다.

   중앙 관리 서버 속성 창이 열립니다.

2. 일반 탭에서 SIEM 섹션을 선택합니다.
3. 설정 링크를 누릅니다.

   설정 내보내기 섹션이 열립니다.

4. 설정 내보내기 섹션에서 다음 설정을 지정합니다.
   • SIEM 시스템 서버 주소

     현재 사용 중인 SIEM 시스템이 설치된 서버의 IP 주소입니다. SIEM 시스템 설정에서 이 값을 확인하십시오.

   • SIEM 시스템 포트

     Kaspersky Security Center Linux와 SIEM 시스템 서버 간의 연결을 설정하는 데 사용되는 포트 번호입니다. Kaspersky Security Center Linux 설정과 SIEM 시스템의 수신기 설정에서 이 값을 지정할 수 있습니다.

   • 프로토콜

     SIEM 시스템으로 메시지를 전송하는 데 사용할 프로토콜을 선택합니다. TCP 프로토콜을 통해 TCP/IP, UDP 또는 TLS를 선택할 수 있습니다.

     TCP 프로토콜을 통해 TLS를 선택하면 다음과 같은 TLS 설정을 지정할 수 있습니다.

     • 서버 인증

       서버 인증 필드에서 다음과 같이 신뢰할 수 있는 인증서 또는 SHA 지문 값을 선택할 수 있습니다.

       • 신뢰할 수 있는 인증서. 신뢰하는 인증 기관(CA)에서 인증서 목록이 포함된 파일을 수신하여 Kaspersky Security Center Linux에 업로드할 수 있습니다. Kaspersky Security Center Linux가 SIEM 시스템 서버의 인증서에 신뢰하는 인증 기관의 서명이 있는지 확인합니다.

         신뢰할 수 있는 인증서를 추가하려면 CA 인증서 파일 찾기 버튼을 클릭한 다음 인증서를 업로드합니다.

       • SHA 지문. Kaspersky Security Center Linux에 대한 SIEM 시스템 인증서의 SHA-1 지문을 지정할 수 있습니다. SHA-1 지문을 추가하려면 지문 필드에 입력한 다음 추가 버튼을 누릅니다.

       클라이언트 인증 추가 설정을 사용하여 Kaspersky Security Center Linux 인증을 위한 인증서를 생성할 수 있습니다. 따라서 Kaspersky Security Center Linux에서 발급한 자체 서명 인증서를 사용하게 됩니다. 이 경우 신뢰할 수 있는 인증서와 SHA 지문을 모두 사용하여 SIEM 시스템 서버를 인증할 수 있습니다.

     • 주체 이름/주체 대체 이름 추가

       대상 이름은 인증서가 수신되는 도메인 이름입니다. Kaspersky Security Center Linux는 SIEM 시스템 서버의 도메인 이름이 SIEM 시스템 서버 인증서의 대상 이름과 일치하지 않을 시 SIEM 시스템 서버에 연결할 수 없습니다. 그러나 SIEM 시스템 서버는 인증서에서 이름이 변경된 경우 도메인 이름을 변경할 수 있습니다. 이 경우 주체 이름/주체 대체 이름 추가 필드에 주체 이름을 지정할 수 있습니다. 지정된 대상 중 이름이 SIEM 시스템 인증서의 대상 이름과 일치하는 것이 있으면, Kaspersky Security Center Linux가 SIEM 시스템 서버 인증서의 유효성을 검증합니다.

     • 클라이언트 인증 추가

       클라이언트 인증의 경우 인증서를 삽입하거나 Kaspersky Security Center Linux에서 생성할 수 있습니다.

       • 인증서 삽입. 신뢰할 수 있는 인증 기관(CA)과 같은 다양한 경로에서 수신된 인증서를 사용할 수 있습니다. 다음 인증서 유형 중 하나를 사용하여 인증서와 개인 키를 지정해야 합니다:
         • X.509 인증서 PEM. 인증서가 있는 파일 필드에 인증서가 있는 파일을 업로드하고 키가 있는 파일 필드에 개인 키가 있는 파일을 업로드합니다. 두 파일은 서로 의존하지 않으며 파일의 로딩 순서는 중요하지 않습니다. 두 파일이 모두 업로드되면 암호 또는 인증서 확인 필드에 개인 키 디코딩을 위한 암호를 지정합니다. 개인 키가 인코딩되지 않은 경우 암호는 빈 값을 가질 수 있습니다.
         • X.509 인증서 PKCS12. 인증서가 있는 파일 필드에 인증서와 개인 키가 포함된 단일 파일을 업로드합니다. 파일이 업로드되면 암호 또는 인증서 확인 필드에 개인 키 디코딩을 위한 암호를 지정합니다. 개인 키가 인코딩되지 않은 경우 암호는 빈 값을 가질 수 있습니다.
       • 키 생성. Kaspersky Security Center Linux에서 자체 서명 인증서를 생성할 수 있습니다. 결과적으로 Kaspersky Security Center Linux는 생성된 자체 서명 인증서를 저장하며, 사용자는 인증서의 공개 부분 또는 SHA1 지문을 SIEM 시스템에 전달할 수 있습니다.
5. 필요 시, 중앙 관리 서버 데이터베이스에서 보관된 이벤트를 내보내고 보관된 이벤트 내보내기를 시작할 시작 날짜를 설정할 수 있습니다.
   1. 링크에서 내보내기 시작 날짜 설정를 클릭합니다.
   2. 섹션이 열리면 내보내기 시작 날짜 필드에 시작 날짜를 지정합니다.
   3. 확인 버튼을 누릅니다.
6. 옵션을 SIEM 시스템 데이터베이스로 이벤트 자동 내보내기활성화됨 위치로 전환합니다.
7. 저장 버튼을 누릅니다.

SIEM 시스템으로 내보내기가 구성되었습니다. 이제 SIEM 시스템에서 이벤트 수신을 구성할 시, 중앙 관리 서버는 표시된 이벤트를 SIEM 시스템으로 내보냅니다. 내보내기 시작 날짜를 설정하면 중앙 관리 서버는 지정 날짜부터 중앙 관리 서버 데이터베이스에 저장된 표시된 이벤트도 내보냅니다.