Sie können in Kaspersky Security Center den automatischen Ereignisexport aktivieren.
Mit den Formaten CEF und LEEF können nur allgemeine Ereignisse aus verwalteten Programmen exportiert werden. Die zur Konvertierung von Ereignissen in das CEF- und LEEF-Format verwendeten Interpretationsregeln sind in der Datei siem_conversion_rules.xml angegeben, die im Lieferumfang von Kaspersky Security Center enthalten ist. Programmspezifische Ereignisse können mit den Formaten CEF und LEEF nicht aus verwalteten Programmen exportiert werden. Wenn es erforderlich ist, die Ereignisse der verwalteten Programme oder einen benutzerdefinierten Satz von Ereignissen, der mit der Hilfe der Richtlinien der verwalteten Programme angepasst wurde, zu exportieren, müssen Sie die Ereignisse im Syslog-Format exportieren.
So aktivieren Sie den automatischen Export von Ereignissen:
Wählen Sie im Konsolenbaum von Kaspersky Security Center den Knoten mit dem Namen des Administrationsservers aus, dessen Ereignisse exportiert werden sollen.
Wählen Sie im Arbeitsbereich des ausgewählten Administrationsservers die Registerkarte Ereignisse aus.
Klicken Sie auf den Dropdown-Pfeil neben dem Link Benachrichtigungseinstellungen und Ereignis-Export anpassen und wählen in der Dropdown-Liste den Punkt Export in ein SIEM-System anpassen aus.
Das Eigenschaftenfenster für Ereignisse wird im Abschnitt Ereignisexport geöffnet.
Konfigurieren Sie im Abschnitt Ereignisexport die folgenden Export-Einstellungen:
Abschnitt "Ereignisexport" des Eigenschaftsfensters für Ereignisse
Aktivieren Sie dieses Kontrollkästchen, um den automatischen Ereignisexport ins SIEM-System zu aktivieren. Nach der Aktivierung dieses Kontrollkästchens können alle Felder im Abschnitt Ereignisexport bearbeitet werden.
Wählen Sie das SIEM-System aus, um folgende Ereignisse zu exportieren: QRadar (LEEF-Format), ArcSight (CEF-Format), Splunk (CEF-Format) und Syslog-Format (RFC 5424).
Wenn Sie als Format "Syslog" auswählen, müssen Sie folgendes angeben:
Geben Sie die maximale Größe der Nachricht in Byte an, die an das SIEM-System übertragen wird. Jedes Ereignis wird in einer Nachricht übermittelt. Wenn die reale Länge der Nachricht den angegebenen Wert überschreitet, wird die Nachricht abgeschnitten und Daten können verloren gehen. Standardmäßig beträgt die Größe der Nachricht 2048 Bytes. Dieses Feld ist nur verfügbar, falls Sie im Feld SIEM-System das Format Syslog ausgewählt haben.
Geben Sie den Port für die Verbindung mit dem Server des SIEM-Systems an. Dieser Port muss mit dem Port übereinstimmen, den Sie in den Einstellungen des Empfängers des SIEM-Systems für das Empfangen von Ereignissen (s. Abschnitt "Einstellungen des SIEM-Systems") angegeben haben.
Wählen Sie das Übertragungsprotokoll für Nachrichten ins SIEM-System aus. Sie können entweder die Protokolle TCP/IP, UDP oder TLS over TCP auswählen.
Wenn Sie das Protokoll TLS over TCP auswählen, geben Sie die folgenden TLS-Einstellungen an:
Authentifizierung des SIEM-Servers
Wählen Sie eine der folgenden Möglichkeiten, um den SIEM-Systemserver zu authentifizieren:
Durch CA-Zertifikate. Sie können eine Datei bekommen, die eine Liste mit Zertifikaten von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority – CA) enthält, und diese Datei in Kaspersky Security Center hochladen. Kaspersky Security Center prüft, ob das Zertifikat des SIEM-Servers auch von einer vertrauenswürdigen CA signiert ist oder nicht.
Um ein vertrauenswürdiges Zertifikat hinzuzufügen, klicken Sie auf die Schaltfläche Durchsuchen und laden Sie anschließend das Zertifikat hoch.
Wenn Sie die Option Durch CA-Zertifikate ausgewählt haben, können Sie den Antragstellernamen im Feld Antragsteller der Serverzertifikate (optional) angeben. Der Antragstellername ist ein Domänenname, für den das Zertifikat empfangen wird. Kaspersky Security Center kann keine Verbindung zu dem SIEM-System-Server herstellen, wenn der Domänenname des SIEM-System-Servers nicht mit dem Antragstellernamen des Zertifikats des SIEM-System-Servers übereinstimmt. Der SIEM-Systemserver kann jedoch seinen Domänennamen ändern, wenn Sie den Namen des Antragstellers im Zertifikat ändern. Geben Sie dazu die Antragstellernamen im Feld Antragsteller der Serverzertifikate (optional) an. Wenn einer der angegebenen Antragstellernamen mit dem Antragsteller des Zertifikats für das SIEM-Systems übereinstimmt, validiert Kaspersky Security Center das Zertifikat dieses SIEM-Systems.
Durch SHA-1-Fingerabdrücke von Serverzertifikaten. In Kaspersky Security Center können Sie die SHA-1-Fingerabdrücke der Zertifikate von SIEM-Systemen angeben. Um einen SHA-1-Fingerabdruck hinzuzufügen, geben Sie ihn in das Feld unter der Option ein.
Client-Authentifizierung
Um die Client-Authentifizierung durchzuführen, können Sie entweder Ihr Zertifikat einfügen oder es im Kaspersky Security Center generieren.
Zertifikat einfügen. Sie können ein Zertifikat verwenden, das Sie von einer beliebigen Quelle erhalten haben, beispielsweise von einer vertrauenswürdigen CA. Um ein vorhandenes Zertifikat einzufügen, klicken Sie auf die Schaltfläche Zertifikat auswählen. Wählen Sie im geöffneten Fenster Zertifikat einen der folgenden Zertifikatstypen aus und geben Sie dann das Zertifikat und seinen privaten Schlüssel an:
X.509-Zertifikat. Laden Sie jeweils eine Datei mit einem privaten Schlüssel im Feld Privater Schlüssel (*.prk, *.pem) hoch und eine Datei mit einem Zertifikat im Feld Zertifikat (*.cer). Klicken Sie dazu auf die Schaltfläche Durchsuchen rechts neben dem entsprechenden Feld und fügen Sie dann die gewünschte Datei hinzu. Beide Dateien sind unabhängig voneinander und die Reihenfolge für das Hochladen der Dateien ist spielt keine Rolle. Geben Sie nach dem Hochladen beider Dateien das Kennwort zum Entschlüsseln des privaten Schlüssels in dem Feld Kennwort an. Das Kennwort kann einen leeren Wert haben, wenn der private Schlüssel nicht verschlüsselt ist.
Container PKCS#12. Laden Sie in dem Feld Zertifikatdatei eine Datei hoch, die ein Zertifikat und dessen privaten Schlüssel enthält. Klicken Sie dazu auf die Schaltfläche Durchsuchen rechts neben dem Feld und fügen Sie dann die erforderliche Datei hinzu. Geben Sie nach dem Hochladen der Datei das Kennwort zum Entschlüsseln des privaten Schlüssels in dem Feld Kennwort an. Das Kennwort kann einen leeren Wert haben, wenn der private Schlüssel nicht verschlüsselt ist.
Schlüssel generieren. Sie können in Kaspersky Security Center ein selbstsigniertes Zertifikat generieren. Klicken Sie auf die Schaltfläche Zertifikat erstellen und geben Sie anschließend einen Antragstellernamen in das ein Feld Antragsteller ein. Das Client-Zertifikat wird für diesen Antragstellernamen generiert und der SHA-1-Fingerabdruck dieses Zertifikats wird im Feld SHA-1-Fingerabdruck des Client-Zertifikats angezeigt. Infolge dessen speichert Kaspersky Security Center das generierte selbstsignierte Zertifikat und Sie können den öffentlichen Teil des Zertifikats oder den SHA-1-Fingerabdruck an das SIEM-System übergeben.
Wenn es erforderlich ist, Ereignisse, die nach einem bestimmten Datum in der Vergangenheit aufgetreten sind ins SIEM-System zu exportieren, klicken Sie auf die Schaltfläche Archiv exportieren und geben Sie das Datum an, ab dem der Export der Ereignisse ausgeführt werden soll. Standardmäßig beginnt der Export der Ereignisse sofort nach der Aktivierung.
Klicken Sie auf die Schaltfläche OK.
Der automatische Ereignisexport ist aktiviert.
Nach der Aktivierung des automatischen Ereignisexports müssen Sie auswählen, welche Ereignisse ins SIEM-System exportiert werden sollen.
