イベントを SIEM システムにエクスポートするための Kaspersky Security Center の設定

Kaspersky Security Center でイベントの自動的なエクスポートを有効にできます。

管理対象アプリケーションから CEF 形式おとび LEEF 形式でエクスポート可能なイベントは一般イベントのみです。アプリケーション固有のイベントは、管理対象アプリケーションから CEF 形式および LEEF 形式でエクスポートできません。管理対象アプリケーションのイベントまたは管理対象アプリケーションのポリシーを使用して設定されたカスタムイベントをエクスポートするには、イベントを Syslog 形式でエクスポートする必要があります。

イベントの自動的なエクスポートを有効にするには：

Kaspersky Security Center のコンソールツリーで、イベントをエクスポートする管理サーバーを選択します。
選択した管理サーバーの作業領域で、［イベント］タブを選択します。
［通知とイベントのエクスポートの設定］に隣接するドロップダウン矢印をクリックして、ドロップダウンリストから［SIEM システムへのエクスポートの設定］を選択します。
イベントのプロパティウィンドウが開き、［イベントのエクスポート］セクションが表示されます。
［イベントのエクスポート］セクションで、次のエクスポート設定を指定します：
イベントのプロパティウィンドウの［イベントのエクスポート］セクション
- イベントを SIEM システムデータベースへ自動的にエクスポート
  このチェックボックスをオンにすると、SIEM システムへのイベントの自動エクスポートが有効になります。このチェックボックスをオンにすると、［イベントのエクスポート］セクションのすべてのフィールドが有効になります。
- SIEM システム
  イベントをエクスポートする SIEM システムを選択します：QRadar®（LEEF 形式）、ArcSight（CEF 形式）、Splunk®（CEF 形式）、Syslog 形式（RFC 5424）。
- SIEM システムサーバーアドレス
  SIEM システムサーバーアドレスを指定します。アドレスは、DNS または NetBIOS 名または IP アドレスとして指定できます。
- SIEM システムサーバーのポート
  SIEM システムサーバーへの接続用のポート番号を指定します。このポート番号は、SIEM システムがイベントの受信に使用するポートと同じにする必要があります（詳細については、「SIEM システムの設定」のセクションを参照）。
- プロトコル
  メッセージを SIEM システムに送信するために使用するプロトコルを選択します。TCP/IP、UDP、TCP プロトコルのいずれかを選択できます。
  
  TLS over TCP プロトコルを選択した場合は、次の TLS 設定を指定します：
  - SIEM サーバー認証
    次のいずれかの方法を選択して、SIEM システムサーバーを認証します：
    - CA 証明書を使用：信頼できる証明書認証局（CA）から証明書のリストを含むファイルを受け取り、ファイルを Kaspersky Security Center にアップロードできます。Kaspersky Security Center は、SIEM システムサーバーの証明書も CA によって署名されているかどうかを確認します。
      信頼できる証明書を追加するには、［参照］をクリックして、証明書をアップロードします。
      ［CA 証明書を使用］をオンにする場合、［サーバー証明書の発行先（任意）］にサブジェクト名を指定できます。サブジェクト名は、証明書を受け取るドメインの名前です。SIEM システムサーバーのドメイン名が SIEM システムサーバー証明書のサブジェクト名と一致しない場合、Kaspersky Security Center は SIEM システムサーバーに接続できません。ただし、証明書内でサブジェクト名を変更すると、SIEM システムサーバーによりドメイン名が変更されることがあります。これを行うには、サブジェクト名を［サーバー証明書の発行先（任意）］に指定します。指定されたサブジェクト名のいずれかが SIEM システム証明書のサブジェクト名と一致する場合、Kaspersky Security Center は SIEM システムサーバー証明書を検証します。
    - サーバー証明書の SHA1 サムプリントを使用：SIEM システム証明書の SHA-1 サムプリントを Kaspersky Security Center で指定できます。SHA-1 サムプリントを追加するには、オプションの下のフィールドに入力します。
  - クライアント認証
    クライアント認証用に、自身の証明書を挿入するか、Kaspersky Security Center で生成することができます。
    - Insert certificate：CA など、任意の発行元から受け取った証明書を使用できます。既存の証明書を挿入するには、［証明書の参照］をクリックします。表示された［証明書］ウィンドウで、次のいずれかの証明書の種別を選択して、証明書と秘密鍵を指定します：
      X.509 証明書：秘密鍵が含まれるファイルを［秘密鍵 (*.prk, *.pem)］にアップロードし、証明書が含まれるファイルを［証明書 (*.cer)］にアップロードします。これを行うには、対応するフィールドの右側にある［参照］をクリックし、必要なファイルを追加します。両方のファイルは相互に依存せず、ファイルを読み込む順序は重要ではありません。両方のファイルをアップロードしたら、秘密鍵をデコードするためのパスワードを［パスワード］に指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
      PKCS #12 コンテナー：証明書と秘密鍵を含む単一のファイルを［証明書ファイル］にアップロードします。これを行うには、フィールドの右側にある［参照］をクリックし、必要なファイルを追加します。ファイルをアップロードしたら、秘密鍵をデコードするためのパスワードを［パスワード］に指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
    - Generate key：Kaspersky Security Center で自己署名証明書を生成できます。［証明書の生成］をクリックし、［発行先］にサブジェクト名を入力します。このサブジェクト名に対してクライアント証明書が生成され、この証明書のSHA-1 サムプリントが［クライアント証明書の SHA1 サムプリント］に表示されます。Kaspersky Security Center は生成された自己署名証明書を保存し、証明書の公開部分または SHA-1 サムプリントを SIEM システムに渡すことができます。
Syslog 形式を選択する場合は、次を指定する必要があります：
- 最大メッセージサイズ（バイト）
  SIEM システムにリレーされた 1 つのメッセージの最大サイズ（バイト）を指定します。各イベントは 1 つのメッセージでリレーされます。メッセージの実際の長さが指定の値を上回る場合、メッセージは切り捨てられて、データが失われる可能性があります。既定のサイズは 2048 バイトです。［SIEM システム］で Syslog 形式を選択した場合にだけ、このフィールドを使用できます。
過去の指定した日付を経過した後に発生したイベントを SIEM システムデータベースにエクスポートする場合は、［エクスポート］をクリックして、イベントをエクスポートする開始日を指定します。既定では、イベントのエクスポートは、エクスポートを有効にするとすぐに開始されます。
［OK］をクリックします。

イベントの自動エクスポートが有効になります。

イベントの自動エクスポートを有効にしたら、SIEM システムにエクスポートするイベントを選択します。