Konfigurowanie Kaspersky Security Center do wyeksportowania zdarzeń do systemu SIEM

Rozwiń wszystko | Zwiń wszystko

Ten artykuł opisuje sposób skonfigurowania eksportowania zdarzeń do systemów SIEM.

W celu skonfigurowania eksportowania do systemów SIEM w Kaspersky Security Center Web Console:

1. Z listy rozwijalnej Ustawienia konsoli wybierz Integracja.

   Zostanie otwarte okno Ustawienia konsoli.

2. Wybierz zakładkę Integracja.
3. Na zakładce Integracja wybierz sekcję SIEM.
4. Kliknij odnośnik Ustawienia.

   Zostanie otwarta sekcja Eksportuj ustawienia.

5. W sekcji Eksportuj ustawienia określ ustawienia:
   • Adres serwera systemu SIEM

     Adres IP serwera, na którym zainstalowany jest aktualnie używany system SIEM. Sprawdź wartość tego ustawienia w ustawieniach systemu SIEM.

   • Port systemu SIEM

     Numer portu używanego do nawiązania połączenia pomiędzy Kaspersky Security Center a serwerem Twojego systemu SIEM. Tę wartość należy określić w ustawieniach Kaspersky Security Center i w ustawieniach odbiornika Twojego systemu SIEM.

   • Protokół

     Wybierz protokół, który będzie używany do przesyłania wiadomości do systemu SIEM. Możesz wybrać protokół TCP/IP, UDP lub TLS przez protokół TCP.

     Określ następujące ustawienia TLS, jeśli wybierzesz TLS poprzez protokół TCP:

     • Uwierzytelnianie serwera

       W polu Uwierzytelnianie serwera możesz wybrać wartości Zaufane certyfikaty lub Odciski palców SHA:

       • Zaufane certyfikaty. Możesz otrzymać kompletny łańcuch certyfikatów (włącznie z certyfikatem głównym) od zaufanych urzędów certyfikacji (CA) i przesłać plik do Kaspersky Security Center. Kaspersky Security Center sprawdza, czy łańcuch certyfikatów serwera systemu SIEM jest również podpisany przez zaufany urząd certyfikacji, czy nie.

         Aby dodać zaufany certyfikat, kliknij przycisk Przeglądaj w poszukiwaniu pliku certyfikatów urzędu certyfikacji, a następnie prześlij certyfikat.

       • Odciski palców SHA. Możesz określić odciski palców SHA1 kompletnego łańcucha certyfikatów systemu SIEM (w tym certyfikatu głównego) w Kaspersky Security Center. Aby dodać odcisk palca SHA1, wprowadź go w polu Odciski kciuka palców, a następnie kliknij przycisk Dodaj.

       Korzystając z ustawienia Dodaj uwierzytelnianie klienta, możesz wygenerować certyfikat do uwierzytelnienia Kaspersky Security Center. W ten sposób będziesz używać certyfikatu z podpisem własnym wystawionego przez Kaspersky Security Center. W takim przypadku do uwierzytelnienia serwera systemu SIEM można użyć zarówno zaufanego certyfikatu, jak i odcisku palca SHA.

     • Dodaj nazwę podmiotu / nazwę alternatywną podmiotu

       Nazwa podmiotu to nazwa domeny, dla której otrzymano certyfikat. Kaspersky Security Center nie może połączyć się z serwerem systemu SIEM, jeśli nazwa domeny serwera systemu SIEM nie jest zgodna z nazwą podmiotu certyfikatu serwera systemu SIEM. Jednak serwer systemu SIEM może zmienić swoją nazwę domeny, jeśli zmieniła się nazwa w certyfikacie. W takim przypadku można określić nazwy podmiotów w polu Dodaj nazwę podmiotu / nazwę alternatywną podmiotu. Jeśli dowolna z podanych nazw podmiotów odpowiada nazwie podmiotu certyfikatu systemu SIEM, Kaspersky Security Center zweryfikuje certyfikat serwera systemu SIEM.

     • Dodaj uwierzytelnianie klienta

       W celu uwierzytelnienia klienta możesz wstawić swój certyfikat lub wygenerować go w Kaspersky Security Center.

       • Wstaw certyfikat. Możesz użyć certyfikatu otrzymanego z dowolnego źródła, na przykład, z dowolnego zaufanego urzędu certyfikacji. Musisz określić certyfikat i jego klucz prywatny, używając jednego z następujących typów certyfikatów:
         • Certyfikat X.509 PEM. Prześlij plik z certyfikatem w polu Plik z certyfikatem oraz plik z kluczem prywatnym w polu Plik z kluczem. Oba pliki nie są od siebie zależne, a kolejność wczytywania plików nie ma znaczenia. Po przesłaniu obu plików określ hasło do dekodowania klucza prywatnego w polu Weryfikacja hasła lub certyfikatu. Hasło może mieć pustą wartość, jeśli klucz prywatny nie jest zakodowany.
         • Certyfikat X.509 PKCS12. Prześlij pojedynczy plik zawierający certyfikat i jego klucz prywatny w polu Plik z certyfikatem. Po przesłaniu pliku określ hasło do dekodowania klucza prywatnego w polu Weryfikacja hasła lub certyfikatu. Hasło może mieć pustą wartość, jeśli klucz prywatny nie jest zakodowany.
       • Generuj klucz. Możesz wygenerować certyfikat z podpisem własnym w Kaspersky Security Center. W rezultacie Kaspersky Security Center przechowuje wygenerowany certyfikat z podpisem własnym i możesz przekazać publiczną część certyfikatu lub odcisk palca SHA1 do systemu SIEM.
   • Format danych

     Możesz wybrać formaty System log, CEF lub LEEF, w zależności od wymagań systemu SIEM.

   Jeśli wybierzesz format Syslog, musisz określić:

   • Maksymalny rozmiar wiadomości zdarzenia w bajtach

     Określ maksymalny rozmiar (w bajtach) jednej wiadomości przekazywanej do systemu SIEM. Każde zdarzenie jest przesyłane w jednej wiadomości. Jeśli rzeczywisty rozmiar wiadomości przekracza określoną wartość, wiadomość jest skracana i dane mogą zostać utracone. Domyślny rozmiar to 2048 bajtów. To pole jest dostępne tylko wtedy, gdy w polu Protokół wybrałeś format System log.

6. Przełącz opcję na pozycję Automatycznie eksportuj zdarzenia do bazy danych systemu SIEM WŁĄCZONO.
7. Kliknij przycisk Zapisz.

Eksportowanie do systemu SIEM zostało skonfigurowane.

Zobacz również: Scenariusz: Konfigurowanie eksportowania zdarzeń do systemów SIEM

Przejdź do góry