配置卡巴斯基安全管理中心以將事件匯出到 SIEM 系統
延伸所有 | 折疊所有
本文將介紹如何配置匯出事件到 SIEM 系統。
若要在卡巴斯基安全管理中心 13.1 網頁主控台中配置匯出到 SIEM 系統:
- 在主控台設定下拉清單中,選取整合。
主控台設定視窗隨即開啟。
- 選取 整合頁籤。
- 在整合 頁簽,選取SIEM區段。
- 透過點擊設定連結。
匯出設定區段將開啟。
- 在匯出設定區域指定以下設定:
- SIEM 系統伺服器位址
安裝了目前使用的 SIEM 系統的伺服器的 IP 位址。在您的 SIEM 系統設定中檢查此值。
- SIEM 系統連接埠
用於建立卡巴斯基安全管理中心和您的 SIEM 系統伺服器之間連線的埠號。您在卡巴斯基安全管理中心設定中和您 SIEM 系統的接收設定中指定該值。
- 協定
選取該協定用於傳輸訊息到 SIEM 系統。您可以選取 TCP/IP、UDP 或 TLS over TCP 通訊協定。
如果您透過 TCP 通訊協定選取 TLS,則可以指定以下 TLS 設定:
- 伺服器身分驗證
在伺服器身分驗證欄位,您可以選擇受信任的憑證或者 SHA 指紋值:
透過使用新增用戶端身分驗證設定,您可以產生憑證來驗證卡巴斯基安全管理中心。因此,您將使用卡巴斯基安全管理中心發佈的自簽章憑證。在此情況下,您可以同時使用受信任的憑證和 SHA 指紋來驗證 SIEM 系統伺服器。
- 新增主體名稱/主體別名
主體名稱是接收憑證的網域。如果 SIEM 系統伺服器的網域與 SIEM 系統伺服器憑證的主體名稱不符,卡巴斯基安全管理中心將無法連線到 SIEM 系統伺服器。但是,如果憑證中的名稱已變更,則 SIEM 系統伺服器可以變更其網域名稱。在此情況下,您可以在新增主體名稱/主體別名欄位中指定主體名稱。如果任何指定的主體名稱與 SIEM 系統憑證的主體名稱匹配,卡巴斯基安全管理中心將驗證 SIEM 系統伺服器憑證。
- 新增用戶端身分驗證
對於用戶端身分驗證,您可以插入您的憑證或在卡巴斯基安全管理中心中產生它。
- 插入憑證.您可以使用從任何來源(例如,從任何受信任的憑證頒發機構)收到的憑證。您必須使用以下憑證類型之一指定憑證及其私密金鑰:
- X.509 憑證 PEM.將帶有憑證的檔案上傳到包含憑證的檔案欄位,將帶有私密金鑰的檔案上傳到包含金鑰的檔案欄位。這兩個檔案互不相依,檔案的載入順序並不重要。當兩個檔案都上傳後,在密碼或者憑證驗證欄位中指定解碼私密金鑰的密碼。如果未編碼私密金鑰未編碼,則密碼可以為空值。
- X.509 憑證 PKCS12.上傳包含憑證及其私密金鑰的單個檔案到包含憑證的檔案欄位。檔案上傳後,在密碼或者憑證驗證欄位中指定解碼私密金鑰的密碼。如果未編碼私密金鑰未編碼,則密碼可以為空值。
- 生產金鑰.您可以在卡巴斯基安全管理中心中產生自簽章憑證。結果,卡巴斯基安全管理中心儲存自簽章憑證,您可以將憑證的公共部分或 SHA1 指紋傳遞給 SIEM 系統。
- 日期格式
您可以根據 SIEM 系統的要求選擇 Syslog、CEF 或 LEEF 格式。
如果選取 Syslog 格式,則必須指定:
- 事件訊息的最大大小(位元組)
指定 SIEM 系統訊息的最大大小。每個事件被一條訊息轉發。如果訊息的精確長度超過指定值,訊息被截斷且資料可能遺失。預設大小是 2048 位元組。如果您在“Protocol”欄位中選取了 Syslog 格式,則可使用該欄位。
- 將選項切換到 自動匯出事件至 SIEM 系統資料庫 ENABLED 位置。
- 點擊儲存按鈕。
匯出到 SIEM 系統已配置。
頁頂