SIEM 시스템으로 이벤트를 내보내기 위한 Kaspersky Security Center 구성

모두 펼치기 | 모두 접기

이벤트를 SIEM 시스템으로 내보내려면, Kaspersky Security Center 웹 콘솔에서 내보내기 프로세스를 구성해야 합니다.

SIEM 시스템(QRadar, ArcSight 또는 Splunk)으로 이벤트를 보내기 전에, siem_conversion_rules.xml 파일에 지정된 규칙을 사용하여 Kaspersky Security Center 이벤트를 CEF 및 LEEF 형식의 이벤트로 해석해야 합니다.

Kaspersky Security Center 웹 콘솔에서 SIEM 시스템으로 내보내기를 구성하려면:

1. 메인 메뉴에서 필요한 중앙 관리 서버 이름 옆의 설정 아이콘()을 누릅니다.

   중앙 관리 서버 속성 창이 열립니다.

2. 일반 탭에서 SIEM로 내보내기 섹션을 선택합니다.
3. 설정 링크를 누릅니다.

   설정 내보내기 섹션이 열립니다.

4. 설정 내보내기 섹션에서 다음 설정을 지정합니다.
   • SIEM 시스템 서버 주소

     현재 사용 중인 SIEM 시스템이 설치된 서버의 IP 주소입니다. SIEM 시스템 설정에서 이 값을 확인하십시오.

   • SIEM 시스템 포트

     Kaspersky Security Center와 SIEM 시스템 서버 간의 연결을 설정하는 데 사용되는 포트 번호입니다. Kaspersky Security Center 설정과 SIEM 시스템의 수신기 설정에서 이 값을 지정할 수 있습니다.

   • 프로토콜

     SIEM 시스템으로 메시지를 전송하는 데 사용할 프로토콜을 선택합니다. TCP 프로토콜을 통해 TCP, UDP, TLS를 선택할 수 있습니다.

     TCP 프로토콜을 통해 TLS를 선택하면 다음과 같은 TLS 설정을 지정할 수 있습니다.

     • 서버 인증

       서버 인증 필드에서 다음과 같이 신뢰할 수 있는 인증서 또는 SHA 지문 값을 선택할 수 있습니다.

       • 신뢰할 수 있는 인증서. 신뢰하는 인증 기관(CA)에서 루트 인증서가 포함된 전체 인증서 체인을 수신하여 Kaspersky Security Center에 업로드할 수 있습니다. Kaspersky Security Center가 SIEM 시스템 서버의 인증서 체인에 신뢰하는 인증 기관의 서명이 있는지 확인합니다.

         신뢰할 수 있는 인증서를 추가하려면 CA 인증서 파일 찾기 버튼을 클릭한 다음 인증서를 업로드합니다.

       • SHA 지문. Kaspersky Security Center에서 SIEM 시스템의 전체 인증서 체인(루트 인증서 포함)의 SHA1 지문을 지정할 수 있습니다. SHA1 지문을 추가하려면 지문 필드에 입력한 다음 추가 버튼을 누릅니다.

       클라이언트 인증 추가 설정을 사용하여 Kaspersky Security Center를 인증하기 위한 인증서를 생성할 수 있습니다. 따라서 Kaspersky Security Center에서 발급한 자체 서명 인증서를 사용하게 됩니다. 이 경우 신뢰할 수 있는 인증서와 SHA 지문을 모두 사용하여 SIEM 시스템 서버를 인증할 수 있습니다.

     • 주체 이름/주체 대체 이름 추가

       대상 이름은 인증서가 수신되는 도메인 이름입니다. Kaspersky Security Center는 SIEM 시스템 서버의 도메인 이름이 SIEM 시스템 서버 인증서의 대상 이름과 일치하지 않는 경우 SIEM 시스템 서버에 연결할 수 없습니다. 그러나 SIEM 시스템 서버는 인증서에서 이름이 변경된 경우 도메인 이름을 변경할 수 있습니다. 이 경우 주체 이름/주체 대체 이름 추가 필드에 주체 이름을 지정할 수 있습니다. 지정된 대상 이름이 SIEM 시스템 인증서의 대상 이름과 일치하면 Kaspersky Security Center가 SIEM 시스템 서버 인증서의 유효성을 검증합니다.

     • 클라이언트 인증 추가

       클라이언트 인증의 경우 인증서를 삽입하거나 Kaspersky Security Center에서 생성할 수 있습니다.

       • 인증서 삽입 . 신뢰할 수 있는 인증 기관(CA)과 같은 다양한 경로에서 수신된 인증서를 사용할 수 있습니다. 다음 인증서 유형 중 하나를 사용하여 인증서와 개인 키를 지정해야 합니다:
         • X.509 인증서 PEM. 인증서가 있는 파일 필드에 인증서가 있는 파일을 업로드하고 키가 있는 파일 필드에 개인 키가 있는 파일을 업로드합니다. 두 파일은 서로 의존하지 않으며 파일의 로딩 순서는 중요하지 않습니다. 두 파일이 모두 업로드되면 암호 또는 인증서 확인 필드에 개인 키 디코딩을 위한 암호를 지정합니다. 개인 키가 인코딩되지 않은 경우 암호는 빈 값을 가질 수 있습니다.
         • X.509 인증서 PKCS12. 인증서가 있는 파일 필드에 인증서와 개인 키가 포함된 단일 파일을 업로드합니다. 파일이 업로드되면 암호 또는 인증서 확인 필드에 개인 키 디코딩을 위한 암호를 지정합니다. 개인 키가 인코딩되지 않은 경우 암호는 빈 값을 가질 수 있습니다.
       • 키 생성. Kaspersky Security Center에서 자체 서명 인증서를 생성할 수 있습니다. Kaspersky Security Center는 생성된 인증서를 저장하고 인증서의 공개 부분 또는 SHA1 지문을 SIEM 시스템에 전달할 수 있습니다.
   • 데이터 형식

     SIEM 시스템의 요구 사항에 따라 시스템 로그, CEF, LEEF 형식을 선택할 수 있습니다.

   시스템 로그 데이터 형식을 선택한다면, 다음을 지정해야 합니다.

   • 최대 메시지 크기, 바이트

     SIEM 시스템으로 전달되는 메시지 하나의 최대 크기(바이트)를 지정합니다. 각 이벤트는 메시지 하나로 전달됩니다. 실제 메시지 길이가 지정된 값을 초과하면 메시지가 잘리며 데이터가 손실될 수 있습니다. 기본 크기는 2048바이트입니다. 이 필드는 프로토콜 필드에서 시스템 로그 형식을 선택했을 때만 사용할 수 있습니다.

5. 필요 시, 중앙 관리 서버 데이터베이스에서 보관된 이벤트를 내보내고 보관된 이벤트 내보내기를 시작할 시작 날짜를 설정할 수 있습니다.
   1. 내보내기 시작 날짜 설정 링크를 클릭합니다.
   2. 섹션이 열리면 시스템 이벤트 내보내기 시작 날짜 필드에 시작 날짜를 지정합니다.
   3. 확인 버튼을 누릅니다.
6. 옵션을 SIEM 시스템 데이터베이스로 이벤트 자동 내보내기 활성화됨 위치로 전환합니다.
7. SIEM 시스템 연결이 구성되었는지 확인하려면 연결 확인 버튼을 클릭합니다.

   SIEM 시스템 서버와의 연결이 설정되고 테스트 이벤트가 전송됩니다. 연결 상태가 표시됩니다.

8. 저장 버튼을 누릅니다.

SIEM 시스템으로 내보내기가 구성되었습니다.

참고 항목: SIEM 시스템으로 이벤트 내보내기 구성

맨 위로