Настройка Kaspersky Security Center для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Вы можете включить автоматический экспорт событий в Kaspersky Security Center.

Только общие события могут быть экспортированы от управляемых приложений в форматах CEF и LEEF. Правила интерпретации, используемые для конвертации событий в форматы CEF и LEEF, задаются в файле siem_conversion_rules.xml, который входит в комплект поставки Kaspersky Security Center.  Специфические события приложений не могут быть экспортированы от управляемых приложений в форматах CEF и LEEF. Если необходимо экспортировать события управляемых приложений или пользовательский набор событий, который настроен с помощью политик управляемых приложений, используйте экспорт событий в формате Syslog.

Чтобы включить автоматический экспорт общих событий:

1. В дереве консоли Kaspersky Security Center выберите узел с именем Сервера администрирования, события которого необходимо экспортировать.
2. В рабочей области выбранного Сервера администрирования перейдите на вкладку События.
3. Нажмите на стрелку рядом со ссылкой Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите пункт Настроить экспорт в SIEM-систему.

   Откроется окно свойств событий на разделе Экспорт событий.

4. В разделе Экспорт событий укажите следующие параметры экспорта:

   

   Раздел Экспорт событий окна свойств событий

   • Автоматически экспортировать события в базу SIEM-системы

     Установите этот флажок, для того чтобы включить автоматический экспорт событий в SIEM-систему. При установке этого флажка все поля в разделе Экспорт событий становятся доступными для редактирования.

   • SIEM-система

     Выберите, в какую SIEM-систему будет выполняться экспорт событий: QRadar® (LEEF-формат), ArcSight (CEF-формат), Splunk® (CEF-формат) и формат Syslog (RFC 5424).

     Если вы выбрали формат Syslog, вам нужно указать:

     Максимальный размер сообщения в байтах

     Укажите максимальный размер в байтах одного сообщения, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. По умолчанию размер сообщения составляет 2048 байт. Данное поле доступно только в случае, если вы выбрали формат Syslog в поле SIEM-система.

   • Адрес сервера SIEM-системы

     Укажите адрес сервера SIEM-системы. Адрес сервера можно указать в формате DNS- или NetBIOS‑имени или IP-адреса.

   • Порт сервера SIEM-системы

     Укажите номер порта для соединения с сервером SIEM-системы. Этот номер порта должен совпадать с номером порта, который вы указываете в настройках приемника SIEM-системы для получения событий (см. раздел Настройка SIEM-системы).

   • Протокол

     Выберите протокол передачи сообщений в SIEM-систему. Вы можете выбрать протокол TCP, UDP или TLS over TCP.

     Укажите следующие параметры TLS, если вы выбираете TLS over TCP:

     • Аутентификация на SIEM-сервере

       Выберите один из следующих способов аутентификации сервера SIEM-системы:

       • Использовать сертификаты ЦС. Вы можете получить файл со списком сертификатов от доверенного центра сертификации (CA) и загрузить его в Kaspersky Security Center. Kaspersky Security Center проверяет, подписан ли сертификат SIEM-системы также доверенным центром сертификации или нет.

         Чтобы добавить доверенный сертификат, нажмите на кнопку Обзор и загрузите сертификат.

         Если вы выберете параметр Использовать сертификаты ЦС, можно указать имена субъектов в поле Субъекты сертификатов сервера (необязательно). Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Security Center не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя, если имя субъекта изменилось в сертификате. Для этого укажите имена субъектов в поле Субъекты сертификатов сервера (необязательно). Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Security Center проверяет сертификат сервера SIEM-системы.

       • Используя SHA1 отпечатки сертификатов сервера. Вы можете указать в Kaspersky Security Center SHA-1 отпечатки сертификатов SIEM-системы. Чтобы добавить отпечаток SHA-1, введите его в поле под параметром.
     • Проверка подлинности клиента

       Для аутентификации клиента вы можете вставить свой сертификат или сгенерировать его в Kaspersky Security Center.

       • Вставить сертификат. Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Чтобы вставить существующий сертификат нажмите на кнопку Поиск сертификата. В открывшемся окне Сертификат выберите один из следующих типов сертификатов, а затем укажите сертификат и его закрытый ключ:
         • X.509-сертификат. Загрузите файл с закрытым ключом в поле Закрытый ключ (*.prk, *.pem) и файл с сертификатом в поле Сертификат (*.cer). Для этого нажмите на кнопку Обзор справа от соответствующего поля, а затем добавьте нужный файл. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла будут загружены, укажите пароль для расшифровки закрытого ключа в поле Пароль. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
         • Контейнер PKCS#12. Загрузите один файл, содержащий сертификат и его закрытый ключ, в поле Файл сертификата. Для этого нажмите на кнопку Обзор справа от поля и добавьте нужный файл. Когда файл будет загружен, укажите пароль для расшифровки закрытого ключа в поле Пароль. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
       • Сгенерировать ключ. Вы можете сгенерировать самоподписанный сертификат в Kaspersky Security Center. Нажмите на кнопку Сформировать сертификат и введите имя субъекта в поле Субъект. Пользовательский сертификат создается для этого имени субъекта и отпечаток SHA-1 этого сертификата отображается в поле Отпечаток SHA1 пользовательского сертификата. В результате Kaspersky Security Center сохраняет сгенерированный самоподписанный сертификат, и вы можете передать публичную часть сертификата или отпечаток SHA-1 в SIEM-систему.
5. Если требуется выполнить экспорт в SIEM-систему событий, произошедших после определенной даты в прошлом, нажмите на кнопку Экспортировать архив и укажите дату, начиная с которой будет выполнен экспорт событий. По умолчанию экспорт событий начинается сразу после включения.
6. Чтобы убедиться, что соединение с SIEM-системой настроено, нажмите на кнопку Проверить соединение.

   Приложение пытается установить соединение с сервером SIEM-системы и отправить тестовое событие. Отображается статус соединения.

7. Нажмите на кнопку ОК.

Автоматический экспорт событий включен.

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться в SIEM-систему.

См. также: Настройка экспорта событий в SIEM-системы Выбор событий для экспорта в SIEM-системы в формате Syslog

В начало