О передаче событий в сторонние системы

При настройке типов событий вы можете указать сторонние системы, в которые будут передаваться зарегистрированные события. Такие сторонние системы называются адресатами. Kaspersky Industrial CyberSecurity for Networks может передавать информацию о событиях одновременно нескольким адресатам.

Kaspersky Industrial CyberSecurity for Networks может передавать информацию о событиях следующим адресатам:

• SIEM-сервер;
• Syslog-сервер;
• электронная почта;
• Kaspersky Security Center.

Для передачи событий в Kaspersky Security Center на Сервере Kaspersky Industrial CyberSecurity for Networks требуется добавить функциональность взаимодействия программы с Kaspersky Security Center. Вы можете добавить эту функциональность при установке или переустановке Kaspersky Industrial CyberSecurity for Networks.

Для передачи событий в другие сторонние системы добавлять функциональность взаимодействия программы с Kaspersky Security Center не требуется.

Для адресатов предусмотрены следующие параметры:

• Имя адресата – имя, которое отображается в заголовке графы на закладке Настройка событий.
• Тип адресата – выбранный тип адресата. В зависимости от выбранного типа вы можете настроить следующие дополнительные параметры:
  • Для SIEM-сервера и Syslog-сервера: адрес и порт сервера.

    Содержание и порядок сведений о событиях, передаваемых адресатам SIEM-сервер и Syslog-сервер, могут отличаться от содержания и порядка сведений, отображаемых в таблице событий.

  • Для электронной почты: параметры уведомлений.

    Уведомление – это сообщение электронной почты, которое содержит события Kaspersky Industrial CyberSecurity for Networks. К уведомлениям применяются следующие параметры:

    • Адрес отправителя уведомления.
    • Адрес получателя уведомления. Несколько адресов разделяются запятыми.
    • Тема уведомления.
    • Шаблон события – шаблон текстового описания для событий в уведомлении. Шаблон определяет содержание и порядок отображения сведений о каждом событии в уведомлении. Шаблон составляется с использованием переменных.
    • Текст уведомления. В тексте уведомления вы можете указать переменную $events, которая при создании уведомления Сервером заменяется списком строк с информацией о событиях. Каждая строка соответствует шаблону события с текущими значениями переменных.
    • Количество уведомлений в сутки. Определяет максимальное количество уведомлений за сутки, начиная с нуля часов в часовом поясе Сервера. Если уведомлений больше, получателям отправляется сообщение электронной почты о превышении максимального количества уведомлений о событиях. В этом случае новые уведомления отправляться не будут до конца текущих суток.
    • Количество событий в каждом уведомлении. Определяет максимальное количество событий, сведения о которых можно поместить в одно уведомление. Если событий больше, то формируется два или более уведомлений с тем же ограничением (в пределах суточного ограничения).
  • Для Kaspersky Security Center: количество передаваемых событий в сутки. Параметр определяет максимальное количество передаваемых событий за сутки, начиная с нуля часов в часовом поясе Сервера. Если событий для передачи больше, в Kaspersky Security Center не отправляются остальные события, регистрируемые до конца текущих суток.

Параметры, определяющие максимальное количество передаваемых событий, применяются к событиям, зарегистрированным в Kaspersky Industrial CyberSecurity for Networks. Если в каком-либо событии указаны сведения о нескольких сетевых взаимодействиях, это событие преобразуется для адресата в отдельные записи о событиях (по одному событию на каждое сетевое взаимодействие). Поэтому список событий для адресата может содержать больше событий, чем задано параметром, который определяет максимальное количество событий.

В начало