Настройка Kaspersky Security Center для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Вы можете включить автоматический экспорт событий в Kaspersky Security Center.

Только общие события могут быть экспортированы от управляемых приложений в форматах CEF и LEEF. Правила интерпретации, используемые для конвертации событий в форматы CEF и LEEF, задаются в файле siem_conversion_rules.xml, который входит в комплект поставки Kaspersky Security Center.  Специфические события приложений не могут быть экспортированы от управляемых приложений в форматах CEF и LEEF. Если необходимо экспортировать события управляемых приложений или пользовательский набор событий, который настроен с помощью политик управляемых приложений, используйте экспорт событий в формате Syslog.

Чтобы включить автоматический экспорт общих событий:

1. В дереве консоли Kaspersky Security Center выберите узел с именем Сервера администрирования, события которого необходимо экспортировать.
2. В рабочей области выбранного Сервера администрирования перейдите на вкладку События.
3. Нажмите на стрелку рядом со ссылкой Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите пункт Настроить экспорт в SIEM-систему.

   Откроется окно свойств событий на разделе Экспорт событий.

4. В разделе Экспорт событий укажите следующие параметры экспорта:

   

   Раздел Экспорт событий окна свойств событий

   • Автоматически экспортировать события в базу SIEM-системы

     Установите этот флажок, для того чтобы включить автоматический экспорт событий в SIEM-систему. При установке этого флажка все поля в разделе Экспорт событий становятся доступными для редактирования.

   • SIEM-система

     Выберите, в какую SIEM-систему будет выполняться экспорт событий: QRadar® (LEEF-формат), ArcSight (CEF-формат), Splunk® (CEF-формат) и формат Syslog (RFC 5424).

     Если вы выбрали формат Syslog, вам нужно указать:

     Максимальный размер сообщения в байтах

     Укажите максимальный размер в байтах одного сообщения, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. По умолчанию размер сообщения составляет 2048 байт. Данное поле доступно только в случае, если вы выбрали формат Syslog в поле SIEM-система.

   • Адрес сервера SIEM-системы

     Укажите адрес сервера SIEM-системы. Адрес сервера можно указать в формате DNS- или NetBIOS‑имени или IP-адреса.

   • Порт сервера SIEM-системы

     Укажите номер порта для соединения с сервером SIEM-системы. Этот номер порта должен совпадать с номером порта, который вы указываете в настройках приемника SIEM-системы для получения событий (см. раздел Настройка SIEM-системы).

   • Протокол

     Выберите протокол передачи сообщений в SIEM-систему. Вы можете выбрать протокол TCP, UDP или TLS over TCP.

     Укажите следующие параметры TLS, если вы выбираете TLS over TCP:

     • Аутентификация на SIEM-сервере

       Выберите один из следующих способов аутентификации сервера SIEM-системы:

       • Использовать сертификаты ЦС. Вы можете получить файл со списком сертификатов от доверенного центра сертификации (CA) и загрузить его в Kaspersky Security Center. Kaspersky Security Center проверяет, подписан ли сертификат SIEM-системы также доверенным центром сертификации или нет.

         Чтобы добавить доверенный сертификат, нажмите на кнопку Обзор и загрузите сертификат.

         Если вы выберете параметр Использовать сертификаты ЦС, можно указать имена субъектов в поле Субъекты сертификатов сервера (необязательно). Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Security Center не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя, если имя субъекта изменилось в сертификате. Для этого укажите имена субъектов в поле Субъекты сертификатов сервера (необязательно). Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Security Center проверяет сертификат сервера SIEM-системы.

       • Используя SHA1 отпечатки сертификатов сервера. Вы можете указать в Kaspersky Security Center SHA-1 отпечатки сертификатов SIEM-системы. Чтобы добавить отпечаток SHA-1, введите его в поле под параметром.
     • Проверка подлинности клиента

       Для аутентификации клиента вы можете вставить свой сертификат или сгенерировать его в Kaspersky Security Center.

       • Вставить сертификат. Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Чтобы вставить существующий сертификат нажмите на кнопку Поиск сертификата. В открывшемся окне Сертификат выберите один из следующих типов сертификатов, а затем укажите сертификат и его закрытый ключ:
         • X.509-сертификат. Загрузите файл с закрытым ключом в поле Закрытый ключ (*.prk, *.pem) и файл с сертификатом в поле Сертификат (*.cer). Для этого нажмите на кнопку Обзор справа от соответствующего поля, а затем добавьте нужный файл. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла будут загружены, укажите пароль для расшифровки закрытого ключа в поле Пароль. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
         • Контейнер PKCS#12. Загрузите один файл, содержащий сертификат и его закрытый ключ, в поле Файл сертификата. Для этого нажмите на кнопку Обзор справа от поля и добавьте нужный файл. Когда файл будет загружен, укажите пароль для расшифровки закрытого ключа в поле Пароль. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
       • Сгенерировать ключ. Вы можете сгенерировать самоподписанный сертификат в Kaspersky Security Center. Нажмите на кнопку Сформировать сертификат и введите имя субъекта в поле Субъект. Пользовательский сертификат создается для этого имени субъекта и отпечаток SHA-1 этого сертификата отображается в поле Отпечаток SHA1 пользовательского сертификата. В результате Kaspersky Security Center сохраняет сгенерированный самоподписанный сертификат, и вы можете передать публичную часть сертификата или отпечаток SHA-1 в SIEM-систему.
5. Если требуется выполнить экспорт в SIEM-систему событий, произошедших после определенной даты в прошлом, нажмите на кнопку Экспортировать архив и укажите дату, начиная с которой будет выполнен экспорт событий. По умолчанию экспорт событий начинается сразу после включения.
6. Чтобы убедиться, что соединение с SIEM-системой настроено, нажмите на кнопку Проверить соединение.

   Приложение пытается установить соединение с сервером SIEM-системы и отправить тестовое событие. Если подключение не установлено, отобразится сообщение об ошибке. Если подключение установлено, никакое сообщение не отображается. При необходимости вы можете просмотреть тестовое событие на вкладке События.

7. Нажмите на кнопку ОК.

Автоматический экспорт событий включен.

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться в SIEM-систему.

См. также: Настройка экспорта событий в SIEM-системы Выбор событий для экспорта в SIEM-системы в формате Syslog

В начало