تكوين Kaspersky Security Center لتصدير الأحداث إلى نظام SIEM

توسيع الكل | طي الكل

لتصدير الأحداث إلى نظام SIEM، يتعين عليك تكوين عملية التصدير في Kaspersky Security Center Web Console.‏

وقبل إرسال الأحداث إلى نظام SIEM (QRadar أو ArcSight أو Splunk)، من الضروري تفسير أحداث Kaspersky Security Center إلى أحداث بتنسيقي CEF وLEEF باستخدام القواعد المحددة في ملف siem_conversion_rules.xml.‏

لتكوين التصدير إلى أنظمة SIEM في Kaspersky Security Center Web Console:‏

1. في القائمة الرئيسية، انقر فوق أيقونة الإعدادات () بجوار اسم خادم الإدارة المطلوب.

   تفتح نافذة خصائص خادم الإدارة.

2. في علامة التبويب General، حدد القسم Export to SIEM.‏
3. انقر على الرابط Settings.‏

   يفتح قسم Export settings.‏

4. قم بتحديد الإعدادات التالية في القسم Export settings:
   • SIEM system server address‏

     عنوان IP للخادم المستخدم حاليًا الذي تم تثبيت نظام SIEM عليه. تحقق من هذه القيمة في إعدادات نظام SIEM لديك.

   • SIEM system port‏

     رقم المنفذ المستخدم لإنشاء اتصال بين Kaspersky Security Center وخادم نظام SIEM الخاص بك. حدد هذه القيمة في إعدادات Kaspersky Security Center وفي إعدادات المستلم لنظام SIEM الخاص بك.

   • Protocol‏

     حدد البروتوكول الذي سيُستخدم لنقل الرسائل إلى نظام SIEM. يمكنك تحديد إما TCP أو UDP أو TLS عبر بروتوكول TCP.‏

     حدد إعدادات TLS التالية إذا قمت بتحديد TLS عبر بروتوكول TCP:‏

     • Server authentication

       في حقل Server authentication، يمكنك تحديد قيم الشهادات الموثوق بها أو بصمات أصابع SHA:

       • شهادات موثوقة. يمكنك الحصول على سلسلة شهادات كاملة (بما في ذلك شهادة الجذر) من مرجع اعتماد موثوق (CA) وتحميل الملف إلى Kaspersky Security Center.‏ يتحقق Kaspersky Security Center مما إذا كانت سلسلة شهادة خادم نظام SIEM موقعة أيضًا من قِبل مرجع اعتماد موثوق أم لا.

         لإضافة شهادة موثوقة، انقر فوق الزر تصفح ملف شهادات CA، ثم قم بتحميل الشهادة.

       • بصمات SHA. يمكنك تحديد بصمات SHA1 لسلسلة الشهادات الكاملة لنظام SIEM (بما في ذلك شهادة الجذر) في Kaspersky Security Center. لإضافة بصمة SHA1، أدخلها في الحقل Thumbprints، ثم انقر فوق الزر Add.‏

       باستخدام إعداد Add client authentication، يمكنك إنشاء شهادة لمصادقة Kaspersky Security Center. وبالتالي، ستستخدم شهادة موقعة ذاتيًا صادرة عن Kaspersky Security Center. في هذه الحالة، يمكنك استخدام شهادة موثوقة وبصمة SHA لمصادقة خادم نظام SIEM.‏

     • Add Subject name/Subject alternative name

       اسم الموضوع هو اسم المجال الذي تم استلام الشهادة من أجله. لا يمكن لـ Kaspersky Security Center الاتصال بخادم نظام SIEM إذا كان اسم المجال لخادم نظام SIEM لا يتطابق مع اسم موضوع شهادة خادم نظام SIEM. ومع ذلك، يمكن لخادم نظام SIEM تغيير اسم المجال الخاص به إذا تم تغيير الاسم في الشهادة. في هذه الحالة، يمكنك تحديد أسماء الموضوعات في الحقل Add Subject name/Subject alternative name. إذا تطابق أيٍ من أسماء الموضوعات المحددة مع اسم موضوع شهادة نظام SIEM، فسيتحقق Kaspersky Security Center من صحة شهادة خادم نظام SIEM.‏

     • Add client authentication

       لمصادقة العميل، يمكنك إدخال شهادتك أو إنشائها في Kaspersky Security Center.‏

       • Insert certificate.‏ يمكنك استخدام شهادة استلمتها من أي مصدر، على سبيل المثال، من أي جهة إصدار موثوقة. يجب تحديد الشهادة ومفتاحها الخاص باستخدام أحد أنواع الشهادات التالية:
         • X.509 certificate PEM. قم بتحميل ملف بشهادة في الحقل File with certificate، وملف بمفتاح خاص في الحقل File with key. كلا الملفين لا يعتمدان على بعضهما البعض وترتيب تحميل الملفات ليس مهمًا. عند تحميل كلا الملفين، حدد كلمة المرور لفك تشفير المفتاح الخاص في حقل Password or certificate verification.‏ يمكن أن تحتوي كلمة المرور على قيمة فارغة إذا لم يتم تشفير المفتاح الخاص.
         • X.509 certificate PKCS12 قم بتحميل ملف واحد يحتوي على شهادة ومفتاحها الخاص في الحقل File with certificate. عند تحميل الملف، حدد كلمة المرور لفك تشفير المفتاح الخاص في حقل Password or certificate verification.‏ يمكن أن تحتوي كلمة المرور على قيمة فارغة إذا لم يتم تشفير المفتاح الخاص.
       • Generate key. يمكنك إنشاء شهادة موقعة ذاتيًا في Kaspersky Security Center. نتيجة لذلك، يخزن Kaspersky Security Center الشهادة الموقعة ذاتيًا التي تم إنشاؤها، ويمكنك تمرير الجزء العام من الشهادة أو بصمة SHA1 إلى نظام SIEM.‏
   • Data format‏

     يمكنك تحديد تنسيقات سجل النظام أو CEF أو LEEF، وفقًا لمتطلبات نظام SIEM.‏

   إذا قمت بتحديد تنسيق بيانات سجل النظام، فيجب عليك تحديد:

   • Maximum message size, in bytes‏

     حدد أقصى حجم للرسالة (بالبايت) التي يتم ترحيلها إلى نظام SIEM. يتم ترحيل كل حدث في رسالة واحدة. إذا تجاوز الطول الفعلي للرسالة القيمة المحددة، فقد يتم اقتطاع الرسالة أو فقد البيانات. الحجم الافتراضي هو 2048 بايت. لا يتوفر هذا الحقل إلا إذا قمت بتحديد تنسيق سجل النظام في حقل البروتوكول.‏

5. إذا أردت، يمكنك تصدير الأحداث المؤرشفة من قاعدة بيانات خادم الإدارة وتعيين تاريخ البدء الذي تريد بدء تصدير الأحداث المؤرشفة منه:
   1. انقر فوق الرابط Set the export start date.‏
   2. في القسم الذي يفتح، حدد تاريخ البدء في حقل Start date of system events export.‏
   3. انقر على زر OK.‏
6. عليك تبديل الخيار إلى الوضع Automatically export events to SIEM system database Enabled.‏
7. للتحقق من تكوين اتصال نظام SIEM، انقر فوق الزر Check connection.‏

   تم إنشاء الاتصال مع خادم نظام SIEM، وتم إرسال حدث اختبار. سيتم عرض حالة الاتصال.

   يتم إجراء الفحص لبروتوكولات TCP/IP وTLS عبر TCP فقط.

8. انقر على زر Save.‏

يتم تكوين التصدير إلى نظام SIEM.‏

انظر أيضًا: تكوين تصدير الحدث إلى أنظمة SIEM

أعلى الصفحة