Puede habilitar la exportación automática de eventos en Kaspersky Security Center.
Solo se pueden exportar eventos generales desde las aplicaciones administradas mediante los formatos CEF y LEEF. Los eventos específicos de la aplicación no se pueden exportar desde las aplicaciones administradas mediante los formatos CEF y LEEF. Si necesita exportar eventos de aplicaciones administradas o un conjunto personalizado de eventos que se haya configurado utilizando las directivas de aplicaciones administradas, debe exportar los eventos en formato Syslog.
Para habilitar la exportación automática de eventos, haga lo siguiente:
En el árbol de consola de Kaspersky Security Center, seleccione el Servidor de administración cuyos eventos desea exportar.
En el espacio de trabajo del Servidor de administración seleccionado, seleccione la pestaña Eventos.
Haga clic en la flecha desplegable junto al enlace Configurar las notificaciones y la exportación de eventos y seleccione Configurar exportación a sistema SIEM en la lista desplegable.
Se abre la ventana propiedades de eventos, mostrando la sección Exportación de eventos.
En la sección Exportación de eventos, especifique la siguiente configuración de exportación:
Sección Exportación de evento de la ventana Propiedades del evento
Seleccione esta casilla para habilitar la exportación automática de eventos al sistema SIEM. Cuando marque la casilla, se habilitarán todos los campos de la sección Exportar eventos.
Seleccione el sistema SIEM al cual exportar los eventos: QRadar (formato LEEF), ArcSight (formato CEF), Splunk (formato CEF) y en formato Syslog (RFC 5424).
Especifique el número de puerto para conectarse con el servidor del sistema SIEM. Este número de puerto debe ser el mismo que el que usado por su sistema SIEM para recibir los eventos (consulte la sección Configuración de un sistema SIEM para más detalles).
Seleccione el protocolo que se utilizará para transferir mensajes al sistema SIEM. Puede seleccionar los protocolos TCP/IP, UDP o TLS over TCP.
Si selecciona el protocolo TLS sobre TCP, configure los siguientes ajustes:
SIEM y autenticación de servidor
Elija una de las siguientes formas de autenticar el servidor del sistema SIEM:
Mediante el uso de certificados de CA. Puede obtener un archivo con una lista de certificados de una entidad de certificación (también denominada "CA") de confianza y cargar ese archivo a Kaspersky Security Center. Kaspersky Security Center verificará si el certificado del servidor del sistema SIEM también fue firmado por una autoridad de certificación de confianza.
Para agregar un certificado de confianza, haga clic en el botón Examinar y, a continuación, cargue el certificado.
Si selecciona la opción Mediante el uso de certificados de CA, puede especificar los nombres de los sujetos en el campo Sujetos de los certificados de servidor (opcional). Se denomina Nombre del sujeto al nombre de dominio para el que se ha obtenido un certificado. Para que Kaspersky Security Center pueda conectarse al servidor del sistema SIEM, el nombre de dominio del servidor del sistema SIEM debe aparecer como nombre del sujeto en el certificado del servidor del sistema SIEM. El servidor del sistema SIEM puede cambiar de nombre de dominio si modifica el nombre del sujeto en el certificado. Para ello, especifique los nombres de los sujetos en el campo Sujetos de los certificados de servidor (opcional). Si alguno de los nombres de sujeto indicados en el campo coincide con el nombre de sujeto especificado en el certificado del sistema SIEM, Kaspersky Security Center considerará que el certificado es válido.
Mediante el uso de huellas digitales SHA1 de certificados de servidor. Puede agregar las huellas digitales SHA-1 de los certificados del sistema SIEM en Kaspersky Security Center. Si desea agregar una huella digital SHA-1, ingrésela en el campo ubicado bajo la opción.
Autenticación de clientes
Para la autenticación del cliente, puede utilizar su propio certificado o generar uno en Kaspersky Security Center.
Insertar certificado. Puede utilizar un certificado obtenido de cualquier fuente (por ejemplo, de una entidad de certificación de confianza). Para insertar un certificado existente, haga clic en el botón Buscar certificado. En la ventana Certificado abierta, elija uno de los siguientes tipos de certificado y, a continuación, especifique el certificado y su clave privada:
Certificado X.509. Cargue el archivo que contenga la clave privada en el campo Clave privada (*.prk, *.pem) y el archivo que contenga el certificado en el campo Certificado (*.cer). Para hacer esto, haga clic en el botón Examinar a la derecha del campo correspondiente y agregue el archivo requerido. Los archivos no dependen el uno del otro y no importa el orden en que se los carga. Tras cargar ambos archivos, ingrese la contraseña para decodificar la clave privada en el campo Contraseña. Si la clave privada no está codificada, puede dejar la contraseña en blanco.
Contenedor PKCS #12. Use el campo Archivo de certificado para cargar un único archivo que contenga tanto el certificado como su clave privada. Para hacer esto, haga clic en el botón Examinar a la derecha del campo y luego agregue el archivo requerido. Tras cargar el archivo, ingrese la contraseña para decodificar la clave privada en el campo Contraseña. Si la clave privada no está codificada, puede dejar la contraseña en blanco.
Generar clave. Puede generar un certificado autofirmado dentro de Kaspersky Security Center. Haga clic en el botón Generar certificado y, a continuación, introduzca un nombre de asunto en el campo Sujeto. El certificado de cliente se genera para este nombre de sujeto y la huella digital SHA-1 de este certificado aparece en el campo Huella digital SHA1 del certificado de cliente. El certificado autofirmado que se genere quedará almacenado en Kaspersky Security Center, y usted podrá transferir la parte pública del certificado o su huella digital SHA-1 al sistema SIEM.
Si selecciona el formato Syslog, debe especificar lo siguiente:
Especifique el tamaño máximo (en bytes) de un mensaje transmitido al sistema SIEM. Cada evento se transmite en un mensaje. Si la duración real de un mensaje supera el valor especificado, el mensaje es truncado y los datos se pueden perder. El tamaño predeterminado es de 2048 bytes. Este campo solo está disponible si seleccionara el formato de Syslog en el campo Sistema SIEM.
Si desea exportar a la base de datos del sistema SIEM los eventos que ocurrieron después de una fecha especificada en el pasado, haga clic en el botón Exportar archivo y especifique la fecha de inicio para la exportación del evento. De forma predeterminada, la exportación del evento inicia inmediatamente después de que la habilita.
Haga clic en Aceptar.
La exportación automática de eventos está habilitada.
Después de habilitar la exportación automática de eventos, debe seleccionar qué eventos se exportarán al sistema SIEM.