Você pode ativar a exportação automática de eventos no Kaspersky Security Center.
Somente os eventos gerais podem ser exportados de aplicativos gerenciados através dos formatos CEF e LEEF. Os eventos específicos para um aplicativo não podem ser exportados de aplicativos gerenciados através dos formatos CEF e LEEF. Se tiver de exportar eventos de aplicativos gerenciados ou de um conjunto personalizado de eventos configurado usando as políticas de aplicativos gerenciados, exporte os eventos através do formato Syslog.
Para ativar a exportação automática de eventos:
Na árvore do console do Kaspersky Security Center, selecione o Servidor de Administração cujos eventos você quer exportar.
No espaço de trabalho do Servidor de Administração selecionado, clique na guia Eventos.
Clique na seta suspensa junto ao link Configurar notificações e exportação de eventos e selecione Configurar a exportação para o sistema SIEM na lista suspensa.
A janela Propriedades de eventos é aberta, exibindo a seção Exportação de eventos.
Na seção Exportação de eventos, especifique as seguintes configurações de exportação:
Seção Exportação de eventos da janela Propriedades do evento
Selecione esta caixa de seleção para ativar a exportação automática de eventos para sistemas SIEM. A seleção desta caixa de seleção ativa todos os campos na seção Exportando eventos.
Especifique o número da porta usada para conectar-se ao servidor do sistema SIEM. Este número de porta deve ser o mesmo que este, que o seu sistema SIEM usa para receber os eventos (consulte a seção Configuração de um sistema SIEM para obter detalhes).
Selecione o protocolo a ser usado para transferir mensagens para o sistema SIEM. Você pode selecionar o TCP/IP, UDP ou TLS sobre protocolo TCP.
Especifique as seguintes configurações de TLS se selecionar o protocolo TLS sobre TCP:
Autenticação do servidor SIEM
Escolha uma das seguintes maneiras de autenticar o servidor do sistema SIEM:
Ao usar certificados CA. Você pode receber um arquivo com uma lista de certificados de uma autoridade de certificação (CA) confiável e carregá-lo para o Kaspersky Security Center. O Kaspersky Security Center verifica se o certificado do servidor do sistema SIEM também é assinado por uma CA confiável.
Para adicionar um certificado confiável, clique no botão Procurar e, em seguida, carregue o certificado.
Se você selecionar a opção Ao usar certificados CA, você poderá especificar nomes de assunto no campo Assuntos dos certificados do servidor (opcional). Nome do assunto é um nome de domínio para o qual o certificado foi recebido. O Kaspersky Security Center não pode se conectar ao servidor do sistema SIEM se o nome de domínio do servidor do sistema SIEM não corresponder ao nome da entidade do certificado do servidor do sistema SIEM. No entanto, o servidor do sistema SIEM poderá alterar seu nome de domínio se você mudar o nome do assunto no certificado. Para fazer isso, especifique os nomes dos assuntos no campo Assuntos dos certificados do servidor (opcional). Se qualquer um dos nomes de assunto especificados corresponder ao nome do assunto do certificado do sistema SIEM, o Kaspersky Security Center valida o certificado do servidor do sistema SIEM.
Ao usar impressões& digitais SHA-1 dos certificados do servidor. Você pode especificar as impressões digitais SHA-1 dos certificados do sistema SIEM no Kaspersky Security Center. Para adicionar uma impressão digital SHA-1, insira-a no campo abaixo da opção.
Autenticação do cliente
Para autenticação de cliente, você pode inserir o seu certificado ou gerá-lo no Kaspersky Security Center.
Inserir certificado. Você pode usar um certificado que recebeu de qualquer fonte, por exemplo, de qualquer CA confiável. Para inserir um certificado existente, clique no botão Procurar por certificado. Na janela aberta Certificado, escolha um dos seguintes tipos de certificado e especifique o certificado e sua chave privada:
Certificado X.509. Carregue um arquivo com uma chave privada no campo Chave privada (*.prk, *.pem) e um arquivo com um certificado no campo Certificado (*.cer). Para fazer isso, clique no botão Procurar à direita do campo correspondente e, em seguida, adicione o arquivo necessário. Ambos os arquivos não dependem um do outro e a ordem de carregamento dos arquivos não é significativa. Depois de carregar ambos os arquivos, especifique a senha para decodificar a chave privada no campo Senha. A senha pode ter um valor vazio se a chave privada não estiver codificada.
Contêiner PKCS#12. Carregue um único arquivo que contenha um certificado e sua chave privada no campo Arquivo de certificado. Para fazer isso, clique no botão Procurar à direita do campo e, em seguida, adicione o arquivo necessário. Depois de carregar o arquivo, especifique a senha para decodificar a chave privada no campo Senha. A senha pode ter um valor vazio se a chave privada não estiver codificada.
Gerar chave. Você pode gerar um certificado autoassinado no Kaspersky Security Center. Clique no botão Gerar certificado e, em seguida, digite um nome de assunto no campo Assunto. O certificado do cliente é gerado para este nome de assunto e a impressão digital SHA-1 deste certificado é exibida no campo Impressão digital SHA-1 do certificado do cliente. Como resultado, o Kaspersky Security Center armazena o certificado autoassinado gerado e você pode passar a parte pública do certificado ou a impressão digital SHA-1 para o sistema SIEM.
Se selecionar o formato Syslog, você deve especificar:
Especifique o tamanho máximo (em bytes) de uma mensagem encaminhada ao sistema SIEM. Cada evento é encaminhado em uma mensagem. Se o comprimento real de uma mensagem exceder o valor especificado, a mensagem é truncada e os dados podem ser perdidos. O tamanho padrão é de 2.048 bytes. Este campo somente está disponível se você selecionou o formato Syslog no campo Sistema SIEM.
Se você desejar exportar ao banco de dados do sistema SIEM os eventos que ocorreram após uma data especificada no passado, clique no botão Exportar arquivo e especifique a data inicial para a exportação do evento. Por padrão, a exportação do evento inicia imediatamente após você ativá-la.
Clique em OK.
A exportação automática dos eventos está ativada.
Após ativar a exportação automática de eventos, você deve selecionar quais eventos serão exportados ao sistema SIEM.