配置 Kaspersky Security Center 以导出事件到 SIEM 系统

扩展所有 | 折叠所有

您可以在 Kaspersky Security Center 中启用自动事件导出。

仅常规事件可以通过 CEF 和 LEEF 格式从受管理应用程序导出。用于将事件转换为 CEF 和 LEEF 格式的解释规则在 Kaspersky Security Center 分发套件中包含的siem_conversion_rules.xml文件中指定。应用程序特定事件不能通过 CEF 和 LEEF 格式从受管理应用程序导出。如果您需要导出受管理应用程序的事件或者使用受管理应用程序策略配置的自定义事件集合，则必须以 Syslog 格式导出事件。

要启用自动事件导出：

1. 在 Kaspersky Security Center 控制台树，选择您要导出事件的管理服务器。
2. 在所选管理服务器的工作区中，选择“事件”选项卡。
3. 单击“配置通知和事件导出”链接旁边的下拉箭头，然后在下拉列表中选择“配置导出到 SIEM 系统”。

   此时将打开事件属性窗口，显示“事件导出”区域。

4. 在“事件导出”区域，指定以下导出设置：

   

   事件属性窗口的事件导出区域

   • 自动导出事件至 SIEM 系统数据库

     选择此复选框以启用自动导出事件至 SIEM 系统。选择该复选框启用导出事件区域的所有字段。

   • SIEM 系统

     选择要导出事件的 SIEM 系统：QRadar®（LEEF 格式）、ArcSight（CEF 格式）、Splunk®（CEF 格式）和 Syslog 格式 (RFC 5424)。

     如果选择 Syslog 格式，则必须指定：

     最大消息大小，字节

     指定 SIEM 系统消息的最大大小。每个事件被一条消息转发。如果消息的精确长度超过指定值，消息被截断且数据可能丢失。默认大小是 2048 字节。如果您在“SIEM 系统”字段选择了 Syslog 格式，则该字段可用。

   • SIEM 系统服务器地址

     指定 SIEM 系统服务器地址。地址可以被指定为 DNS 或 NetBIOS 名称或 IP 地址。

   • SIEM 系统服务器端口

     指定用于连接至 SIEM 系统服务器的端口号。该端口号必须和 SIEM 系统用于接收事件的端口相同(参见“配置 SIEM 系统”)。

   • 协议

     选择该协议用于传输消息到 SIEM 系统。您可以选择 TCP/IP、UDP 或 TLS over TCP 协议。

     如果选择 TLS over TCP 协议，则指定以下 TLS 设置：

     • SIEM 服务器身份验证

       选择以下方式之一对 SIEM 系统服务器进行身份验证：

       • 通过使用 CA 证书。您可以接收含有受信任证书颁发机构 (CA) 的证书列表的文件，并将该文件上传到 Kaspersky Security Center。Kaspersky Security Center 会检查 SIEM 系统服务器证书是否也具有受信任 CA 的签名。

         要添加受信任证书，请单击“浏览”按钮，然后上传证书。

         如果选择通过使用 CA 证书选项，则可以在服务器证书主题(可选)字段中指定主题名称。主题名称是接收证书的域名。如果 SIEM 系统服务器的域名与 SIEM 系统服务器证书的主题名称不匹配，Kaspersky Security Center 将无法连接到 SIEM 系统服务器。但是，如果您在证书中更改主题名称，则 SIEM 系统服务器可以更改域名。为此，请在“服务器证书主题(可选)”字段中指定主题名称。如果任一指定主题名称与 SIEM 系统证书的主题名称匹配，Kaspersky Security Center 将验证 SIEM 系统服务器证书。

       • 通过使用服务器证书的 SHA1 指纹。您可以在 Kaspersky Security Center 中指定 SIEM 系统证书的 SHA-1 指纹。要添加 SHA-1 指纹，请在选项下的字段中输入。
     • 客户端身份验证

       对于客户端身份验证，可以插入证书或在 Kaspersky Security Center 中生成证书。

       • 插入证书。您可以使用从任何来源（例如，从任何受信任 CA）收到的证书。要插入现有证书，请单击浏览证书按钮。在打开的“证书”窗口中，选择以下证书类型之一，然后指定证书及其私钥：
         • X.509 证书。上传在私钥(*.prk, *.pem)字段中包含私钥的文件，以及在证书(*.cer)字段中包含证书的文件。为此，请单击相应字段右侧的“浏览”按钮，然后添加所需的文件。这两个文件不相互依赖，文件的加载顺序也不重要。上传两个文件后，在“密码”字段中指定用于解码私钥的密码。如果私钥未编码，则密码可以为空值。
         • PKCS #12 容器。在“证书文件”字段中上传包含证书及其私钥的单个文件。为此，请单击字段右侧的“浏览”按钮，然后添加所需的文件。上传该文件后，在“密码”字段中指定用于解码私钥的密码。如果私钥未编码，则密码可以为空值。
       • 生成密钥。您可以在 Kaspersky Security Center 中生成自签名证书。单击常规证书按钮，然后在主题字段中输入主题名称。客户端证书将为此主题名称生成，此证书的 SHA-1 指纹将显示在“客户端证书的 SHA1 指纹”字段中。结果是，Kaspersky Security Center 将存储生成的自签名证书，您可以将证书的公共部分或 SHA-1 指纹传递给 SIEM 系统。
5. 如果要将过去指定日期之后发生的事件导出到 SIEM 系统数据库，请单击“导出存档”按钮，然后指定事件导出的开始日期。默认下，事件导出在您启用后立即开始。
6. 要检查 SIEM 系统连接是否已配置，请单击测试设置按钮。

   应用程序尝试建立与 SIEM 系统的连接并发送测试事件。连接状态已显示。

7. 单击“确定”。

自动导出事件被启用。

在启用自动导出事件后，您必须选择将被导出到 SIEM 系统的事件。

另请参阅： 配置导出事件到 SIEM 系统 标记要以 Syslog 格式导出到 SIEM 系统的事件

页顶