Konfigurowanie Kaspersky Security Center do wyeksportowania zdarzeń do systemu SIEM

Rozwiń wszystko | Zwiń wszystko

Możesz włączyć automatyczne eksportowanie zdarzeń w Kaspersky Security Center.

Tylko zdarzenia ogólne mogą być eksportowane z zarządzanych aplikacji w formatach CEF i LEEF. Reguły interpretacji służące do konwersji zdarzeń do formatów CEF i LEEF są określone w pliku siem_conversion_rules.xml znajdującym się w pakiecie dystrybucyjnym Kaspersky Security Center.  Zdarzenia specyficzne dla aplikacji nie mogą być eksportowane z zarządzanych aplikacji w formatach CEF i LEEF. Jeśli chcesz wyeksportować zdarzenia zarządzanych aplikacji lub niestandardowy zestaw zdarzeń, który został skonfigurowany przy użyciu zasad zarządzanych aplikacji, wyeksportuj zdarzenia w formacie Syslog.

W celu włączenia automatycznego eksportowania zdarzeń:

1. W drzewie konsoli Kaspersky Security Center wybierz Serwer administracyjny, którego zdarzenia chcesz wyeksportować.
2. W obszarze roboczym wybranego Serwera administracyjnego wybierz zakładkę Zdarzenia.
3. Kliknij strzałkę rozwijalną znajdującą się obok odnośnika Konfiguruj powiadomienia i eksportowanie zdarzeń i z listy rozwijalnej wybierz Konfiguruj eksportowanie do SIEM.

   Okno właściwości zdarzeń zostanie otwarte na sekcji Eksportowanie zdarzeń.

4. W sekcji Eksportowanie zdarzeń określ następujące ustawienia eksportowania:

   

   Sekcja Eksportowanie zdarzeń w oknie właściwości zdarzeń

   • Automatycznie eksportuj zdarzenia do bazy danych systemu SIEM

     Zaznacz to pole, aby włączyć automatyczne eksportowanie zdarzeń do systemów SIEM. Zaznaczenie tego pola włącza wszystkie pola w sekcji Eksportowanie zdarzeń.

   • System SIEM

     Wybierz system SIEM, do którego zostaną wyeksportowane zdarzenia: QRadar® (format LEEF), ArcSight (format CEF), Splunk® (format CEF) i format Syslog (RFC 5424).

     Jeśli wybierzesz format Syslog, musisz określić:

     Maksymalny rozmiar wiadomości, w bajtach

     Określ maksymalny rozmiar (w bajtach) jednej wiadomości przekazywanej do systemu SIEM. Każde zdarzenie jest przesyłane w jednej wiadomości. Jeśli rzeczywisty rozmiar wiadomości przekracza określoną wartość, wiadomość jest skracana i dane mogą zostać utracone. Domyślny rozmiar to 2048 bajtów. To pole jest dostępne tylko wtedy, gdy w polu System SIEM wybrałeś format dziennika systemu.

   • Adres serwera systemu SIEM

     Określ adres serwera systemu SIEM. Adres można określić jako nazwę DNS lub NetBIOS lub jako adres IP.

   • Port serwera systemu SIEM

     Określ numer portu używanego do nawiązywania połączenia z serwerem systemu SIEM. Ten numer portu musi być taki sam, jak ten, którego Twój system SIEM używa do pobierania zdarzeń (więcej informacji można znaleźć w sekcji Konfigurowanie systemu SIEM).

   • Protokół

     Wybierz protokół, który będzie używany do przesyłania wiadomości do systemu SIEM. Możesz wybrać protokół TCP/IP, UDP lub TLS przez protokół TCP.

     Określ następujące ustawienia TLS, jeśli wybierzesz TLS poprzez protokół TCP:

     • Uwierzytelnianie serwera SIEM

       Wybierz jeden z poniższych sposobów uwierzytelnienia serwera systemu SIEM:

       • Używając certyfikatów urzędu certyfikacji Możesz otrzymać plik z listą certyfikatów od zaufanych urzędów certyfikacji (CA) i przesłać go do Kaspersky Security Center. Kaspersky Security Center sprawdza, czy certyfikat serwera systemu SIEM jest również podpisany przez zaufany urząd certyfikacji, czy nie.

         Aby dodać zaufany certyfikat, kliknij przycisk Przeglądaj, a następnie prześlij certyfikat.

         W przypadku wybrania opcji Używając certyfikatów urzędu certyfikacji można określić nazwy podmiotów w polu Podmioty certyfikatów serwera (opcjonalnie). Nazwa podmiotu to nazwa domeny, dla której otrzymano certyfikat. Kaspersky Security Center nie może połączyć się z serwerem systemu SIEM, jeśli nazwa domeny serwera systemu SIEM nie jest zgodna z nazwą podmiotu certyfikatu serwera systemu SIEM. Jednak serwer systemu SIEM może zmienić swoją nazwę domeny, jeśli zmienisz nazwę w certyfikacie. W tym celu określ nazwy podmiotów w polu Podmioty certyfikatów serwera (opcjonalnie) (opcjonalnie). Jeśli dowolna z podanych nazw podmiotów odpowiada nazwie podmiotu certyfikatu systemu SIEM, Kaspersky Security Center zweryfikuje certyfikat serwera systemu SIEM.

       • Korzystając z odcisków palców SHA-1 certyfikatów serwera Możesz określić odciski palców SHA-1 certyfikatów systemu SIEM w Kaspersky Security Center. Aby dodać odcisk palca SHA-1, wprowadź go w polu pod opcją.
     • Uwierzytelnianie klienta

       W celu uwierzytelnienia klienta możesz wstawić swój certyfikat lub wygenerować go w Kaspersky Security Center.

       • Wstaw certyfikat. Możesz użyć certyfikatu otrzymanego z dowolnego źródła, na przykład, z dowolnego zaufanego urzędu certyfikacji. Aby wstawić istniejący certyfikat, kliknij przycisk Wybierz certyfikat. W otwartym oknie Certyfikat wybierz jeden z poniższych typów certyfikatów, a następnie określ certyfikat i jego klucz prywatny:
         • Certyfikat X.509. Prześlij plik z kluczem prywatnym w polu Klucz prywatny (*.prk, *.pem) oraz plik z certyfikatem w polu Certyfikat(*.cer). W tym celu kliknij przycisk Przeglądaj po prawej stronie odpowiedniego pola, a następnie dodaj wymagany plik. Oba pliki nie są od siebie zależne, a kolejność wczytywania plików nie ma znaczenia. Po przesłaniu obu plików określ hasło do dekodowania klucza prywatnego w polu Hasło. Hasło może mieć pustą wartość, jeśli klucz prywatny nie jest zakodowany.
         • Kontener PKCS #12. Prześlij pojedynczy plik zawierający certyfikat i jego klucz prywatny w polu Plik certyfikatu. W tym celu kliknij przycisk Przeglądaj po prawej stronie odpowiedniego pola, a następnie dodaj wymagany plik. Po przesłaniu pliku określ hasło do dekodowania klucza prywatnego w polu Hasło. Hasło może mieć pustą wartość, jeśli klucz prywatny nie jest zakodowany.
       • Wygeneruj klucz. Możesz wygenerować certyfikat z podpisem własnym w Kaspersky Security Center. Kliknij przycisk Wygeneruj certyfikat, a następnie wprowadź nazwę podmiotu w polu Temat. Certyfikat klienta jest generowany dla tej nazwy podmiotu, a odcisk palca SHA-1 tego certyfikatu jest wyświetlany w polu Odcisk palca SHA-1 certyfikatu klienta. W rezultacie Kaspersky Security Center przechowuje wygenerowany samopodpisany certyfikat i możesz przekazać publiczną część certyfikatu lub odcisk palca SHA-1 do systemu SIEM.
5. Jeśli chcesz wyeksportować do bazy danych systemu SIEM zdarzenia, które wystąpiły po określonej dacie w przeszłości, kliknij przycisk Eksportuj archiwum i określ datę początkową dla eksportowania zdarzeń. Domyślnie, eksportowanie zdarzeń rozpoczyna się od razu po włączeniu tej opcji.
6. Kliknij OK.

Automatyczne eksportowanie zdarzeń jest włączone.

Po włączeniu automatycznego eksportowania zdarzeń, należy wskazać zdarzenia, które zostaną wyeksportowane do systemu SIEM.

Zobacz również: Konfigurowanie eksportowania zdarzeń do systemów SIEM Oznaczenie zdarzeń do wyeksportowania do systemów SIEM w formacie Syslog

Przejdź do góry