SIEM 시스템으로 이벤트를 내보내기 위한 Kaspersky Security Center 구성

모두 펼치기 | 모두 접기

Kaspersky Security Center에서 자동 이벤트 내보내기를 활성화시킬 수 있습니다.

일반 이벤트만 관리되는 애플리케이션에서 CEF 및 LEEF 형식을 통해 내보낼 수 없습니다. 이벤트를 CEF 및 LEEF 형식으로 변환하는 데 사용되는 해석 규칙은 Kaspersky Security Center 배포 키트에 포함된 siem_conversion_rules.xml 파일에 지정되어 있습니다.  애플리케이션 특정 이벤트는 관리되는 애플리케이션에서 CEF 및 LEEF 형식을 통해 내보낼 수 없습니다. 관리되는 애플리케이션의 정책을 사용하여 구성된 사용자 지정 이벤트 세트나 관리되는 애플리케이션의 이벤트를 내보내기해야 한다면 Syslog 형식을 통해 이벤트 내보냅니다.

자동 이벤트 내보내기 활성화:

1. Kaspersky Security Center 콘솔 트리에서 이벤트를 내보낼 중앙 관리 서버를 선택합니다.
2. 선택한 중앙 관리 서버의 작업 영역에서 이벤트 탭을 누릅니다.
3. 알림 구성 및 이벤트 내보내기 링크 옆에 있는 드롭다운 펼침 버튼을 누르고 드롭다운 목록에서 SIEM 시스템으로 내보내기 구성을 선택합니다.

   이벤트 속성 창이 열리고 이벤트 내보내기 섹션이 표시됩니다.

4. 이벤트 내보내기 섹션에서 다음 내보내기 설정을 지정합니다.

   

   이벤트 속성 창의 이벤트 내보내기 섹션

   • SIEM 시스템 데이터베이스로 이벤트를 자동으로 내보내기

     SIEM 시스템으로의 이벤트 자동 내보내기를 사용하도록 설정하려면 이 확인란을 선택합니다. 이 확인란을 선택하면 이벤트 내보내기 섹션의 모든 필드가 사용할 수 있도록 설정됩니다.

   • SIEM 시스템

     SIEM 시스템을 선택하여 QRadar®(LEEF 형식), ArcSight(CEF 형식), Splunk®(CEF 형식), Syslog 형식(RFC 5424)와 같은 이벤트를 내보냅니다.

     Syslog 형식을 선택하는 경우 다음을 지정해야 합니다:

     최대 메시지 크기, 바이트

     SIEM 시스템으로 전달되는 메시지 하나의 최대 크기(바이트)를 지정합니다. 각 이벤트는 메시지 하나로 전달됩니다. 실제 메시지 길이가 지정된 값을 초과하면 메시지가 잘리며 데이터가 손실될 수 있습니다. 기본 크기는 2048바이트입니다. 이 필드는 SIEM 시스템 필드에서 Syslog 형식을 선택한 경우에만 사용할 수 있습니다.

   • SIEM 시스템 서버 주소

     SIEM 시스템 서버 주소를 지정합니다. 주소는 DNS 또는 NetBIOS 이름이나 IP 주소로 지정할 수 있습니다.

   • SIEM 시스템 서버 포트

     SIEM 시스템 서버 연결에 사용되는 포트 번호를 지정합니다. 이 포트 번호는 SIEM 시스템이 이벤트를 받는 데 사용하는 번호와 같아야 합니다. 자세한 내용은 SIEM 시스템 구성 섹션을 참조하십시오.

   • 프로토콜

     SIEM 시스템으로 메시지를 전송하는 데 사용할 프로토콜을 선택합니다. TCP 프로토콜을 통해 TCP/IP, UDP 또는 TLS를 선택할 수 있습니다.

     TCP 프로토콜을 통해 TLS를 선택하면 다음과 같은 TLS 설정을 지정할 수 있습니다.

     • SIEM 서버 인증

       다음 방법 중 하나를 선택하여 SIEM 시스템 서버를 인증합니다:

       • CA 인증서 사용. 신뢰하는 인증 기관(CA)에서 인증서 목록이 포함된 파일을 수신하여 Kaspersky Security Center에 업로드할 수 있습니다. Kaspersky Security Center는 SIEM 시스템 서버의 인증서가 신뢰하는 인증 기관에서 서명한 것인지 확인합니다.

         신뢰하는 인증서를 추가하려면 찾기 버튼을 클릭한 다음 인증서를 업로드합니다.

         CA 인증서 사용 옵션을 선택하면 서버 인증서의 대상 (선택 사항) 필드에 대상 이름을 지정할 수 있습니다. 대상 이름은 인증서가 수신되는 도메인 이름입니다. Kaspersky Security Center는 SIEM 시스템 서버의 도메인 이름이 SIEM 시스템 서버 인증서의 대상 이름과 일치하지 않는 경우 SIEM 시스템 서버에 연결할 수 없습니다. 그러나 SIEM 시스템 서버는 인증서에서 대상 이름이 변경되면 도메인 이름을 변경할 수 있습니다. 이렇게 하려면 서버 인증서의 대상 (선택 사항) 필드에 대상 이름을 지정합니다. 지정된 대상 이름이 SIEM 시스템 인증서의 대상 이름과 일치하면 Kaspersky Security Center가 SIEM 시스템 서버 인증서의 유효성을 검증합니다.

       • 서버 인증서의 SHA-1 엄지손가락 지문을 사용. Kaspersky Security Center에 대한 SIEM 시스템 인증서의 SHA-1 지문을 지정할 수 있습니다. SHA-1 지문을 추가하려면 옵션 아래의 필드에 입력합니다.
     • 클라이언트 인증

       클라이언트 인증의 경우 인증서를 삽입하거나 Kaspersky Security Center에서 생성할 수 있습니다.

       • 인증서 삽입. 신뢰할 수 있는 인증 기관(CA)과 같은 다양한 경로에서 수신된 인증서를 사용할 수 있습니다. 기존 인증서를 삽입하려면 인증서 찾기 버튼을 클릭합니다. 인증서 창이 열리면 다음 인증서 유형 중 하나를 선택한 다음, 인증서와 해당 개인 키를 지정합니다:
         • X.509 인증서. 개인 키(*.prk, *.pem) 필드에 개인 키가 있는 파일과 인증서(*.cer) 필드에 인증서가 있는 파일을 업로드합니다. 이렇게 하려면 해당 필드 오른쪽에 있는 찾기 버튼을 클릭한 다음 필요한 파일을 추가합니다. 두 파일은 서로 의존하지 않으며 파일의 로딩 순서는 중요하지 않습니다. 파일을 모두 업로드한 후 암호 필드에 개인 키 디코딩 암호를 지정합니다. 개인 키가 인코딩되지 않은 경우 암호는 빈 값을 가질 수 있습니다.
         • PKCS #12 컨테이너. 인증서 파일 필드에 인증서와 개인 키가 포함된 단일 파일을 업로드합니다. 이렇게 하려면 필드 오른쪽에 있는 찾기 버튼을 클릭한 다음 필요한 파일을 추가합니다. 파일 업로드 후 암호 필드에 개인 키 디코딩 암호를 지정합니다. 개인 키가 인코딩되지 않은 경우 암호는 빈 값을 가질 수 있습니다.
       • 키 생성. Kaspersky Security Center에서 자체 서명 인증서를 생성할 수 있습니다. 인증서 생성 버튼을 클릭한 다음 제목 필드에 대상 이름을 입력합니다. 이 대상 이름에 대해 클라이언트 인증서가 생성되고 이 인증서의 클라이언트 인증서의 SHA-1 엄지손가락 지문의 SHA-1 지문 필드에 표시됩니다. 이에 따라 Kaspersky Security Center가 생성된 자체 서명 인증서를 저장하며, 인증서의 공개 부분 또는 SHA1 지문을 SIEM 시스템에 전달할 수 있습니다.
5. 이전의 특정 날짜 이후에 발생한 이벤트를 SIEM 시스템 데이터베이스로 내보내려는 경우 아카이브 내보내기 버튼을 누르고 이벤트 내보내기 시작 날짜를 지정합니다. 기본적으로는 이벤트 내보내기를 사용하도록 설정한 직후에 내보내기가 시작됩니다.
6. 확인를 누릅니다.

이벤트 자동 내보내기가 사용하도록 설정됩니다.

이벤트 자동 내보내기를 사용하도록 설정한 후에는 SIEM 시스템으로 내보낼 이벤트를 선택해야 합니다.

참고 항목: SIEM 시스템으로 이벤트 내보내기 구성 Syslog 형식으로 SIEM 시스템으로 내보내기 위한 이벤트 표시

맨 위로