配置卡巴斯基安全管理中心以將事件匯出到 SIEM 系統

延伸所有 | 折疊所有

您可以在卡巴斯基安全管理中心中啟用自動事件匯出。

僅一般事件可以透過 CEF 和 LEEF 格式從受管理應用程式匯出。用於將事件轉換為 CEF 和 LEEF 格式的解釋規則在卡巴斯基安全管理中心分發套件中包含的siem_conversion_rules.xml檔案中指定。應用程式特定事件無法透過 CEF 和 LEEF 格式從受管理應用程式匯出。如果您需要匯出受管理的應用程式的事件或使用受管理的應用程式的政策配置的自訂事件集，您必須以 Syslog 格式匯出這些事件。

若要啟用事件自動匯出：

1. 在卡巴斯基安全管理中心主控台樹狀目錄，選取您要匯出事件的管理伺服器。
2. 在所選管理伺服器的工作區中，選擇事件頁簽。
3. 點擊設定通知和事件匯出連結旁的下拉箭頭，然後選取下拉清單的設定匯出到 SIEM 系統。

   事件內容視窗中將開啟事件匯出區域。

4. 在事件匯出區域中，指定以下匯出設定：

   

   事件內容視窗的事件匯出區域

   • 自動匯出事件至SIEM系統資料庫

     選取此核取方塊以啟用自動匯出事件至 SIEM 系統。選取該核取方塊啟用匯出事件區域的所有欄位。

   • SIEM 系統

     選擇要匯出事件的 SIEM 系統：QRadar®（LEEF 格式）、 ArcSight（CEF 格式）、Splunk®（CEF 格式）和 Syslog 格式 (RFC 5424)。

     如果選取 Syslog 格式，則必須指定：

     最大訊息大小，位元

     指定 SIEM 系統訊息的最大大小。每個事件被一條訊息轉發。如果訊息的精確長度超過指定值，訊息被截斷且資料可能遺失。預設大小是 2048 位元組。如果您在 SIEM 系統欄位選取 Syslog 格式，則可使用該欄位。

   • SIEM 系統伺服器位址

     指定 SIEM 系統伺服器位址。位址可以被指定為 DNS 或 NetBIOS 名稱或 IP 位址。

   • SIEM 系統伺服器連接埠

     指定用於連線至 SIEM 系統伺服器的埠號。該埠號必須和 SIEM 系統用於接收事件的連接埠相同（參見「設定 SIEM 系統」）。

   • 協定

     選取該協定用於傳輸訊息到 SIEM 系統。您可以選取 TCP/IP、UDP 或 TLS over TCP 通訊協定。

     如果您透過 TCP 通訊協定選取 TLS，則可以指定以下 TLS 設定：

     • SIEM 和伺服器身分驗證

       選擇以下其中一個方式，來對 SIEM 系統伺服器進行身分驗證：

       • 透過使用 CA 憑證。您可以從受信任的憑證頒發機構 (CA) 接收帶有憑證清單的檔案，然後將該檔案上傳到卡巴斯基安全管理中心。卡巴斯基安全管理中心會檢查 SIEM 系統伺服器的憑證是否也由受信任的 CA 簽署。

         要新增受信任的憑證，請點擊瀏覽按鈕，然後上傳憑證。

         如果選擇透過使用 CA 憑證選項，您可以在伺服器憑證的主旨(選用)欄位中指定主體名稱。主體名稱是接收憑證的網域名稱。如果 SIEM 系統伺服器的網域與 SIEM 系統伺服器憑證的主體名稱不符，卡巴斯基安全管理中心將無法連線到 SIEM 系統伺服器。但是，如果憑證中的主體名稱已變更，則 SIEM 系統伺服器可以變更其網域名稱。如果要這麼做，請在伺服器憑證的主旨(選用)欄位中指定主體名稱。如果任何指定的主體名稱與 SIEM 系統憑證的主體名稱匹配，卡巴斯基安全管理中心將驗證 SIEM 系統伺服器憑證。

       • 透過使用伺服器憑證的 SHA1 指紋。您可以在卡巴斯基安全管理中心中指定 SIEM 系統憑證的 SHA-1 指紋。如要新增 SHA-1 指紋，請在選項下的欄位中輸入。
     • 用戶端身分驗證

       對於用戶端身分驗證，您可以插入您的憑證或在卡巴斯基安全管理中心中產生它。

       • 插入憑證。您可以使用從任何來源（例如，從任何受信任的憑證頒發機構）收到的憑證。要插入現有憑證，請點擊瀏覽憑證按鈕。在開啟的憑證視窗中，選擇下列其中一個憑證類型，然後指定憑證及其私密金鑰：
         • X.509 憑證.在私密金鑰(*.prk, *.pem)欄位中輸入一個包含私密金鑰的檔案，在憑證(*.cer)欄位中上傳包含憑證的檔案。為此，請按一下相應欄位右側的瀏覽按鈕，然後新增所需的檔案。這兩個檔案互不相依，檔案的載入順序並不重要。這兩個檔案上傳後，在密碼欄位中指定用於解碼私密金鑰的密碼。如果未編碼私密金鑰未編碼，則密碼可以為空值。
         • PKCS#12 容器。在憑證檔案欄位中，上傳包含憑證及其私密金鑰的單個檔案。為此，請按一下欄位右側的瀏覽按鈕，然後新增所需的檔案。檔案上傳後，在密碼欄位中指定用於解碼私密金鑰的密碼。如果未編碼私密金鑰未編碼，則密碼可以為空值。
       • 產生金鑰。您可以在卡巴斯基安全管理中心中產生自簽章憑證。點擊產生憑證按鈕，然後在主旨欄位中輸入主體名稱。系統將為此主體名稱產生用戶端憑證，此憑證的 SHA-1 指紋會顯示在用戶端憑證的 SHA1 指紋 欄位。因此，卡巴斯基安全管理中心會儲存產生的自我簽署憑證，您可以將憑證的公共部分或 SHA-1 指紋傳遞給 SIEM 系統。
5. 如果您要將發生在指定日期後的事件匯出到 SIEM 系統資料庫，然後點擊匯出檔案按鈕並指定事件匯出的開始日期。預設下，事件匯出在您啟用後立即開始。
6. 若要檢查 SIEM 系統連線是否已設定，請點擊測試設定按鈕。

   應用程式將嘗試建立與 SIEM 系統伺服器的連接並傳送測試事件。連線狀態將顯示。

7. 點擊確定。

自動匯出事件被啟用。

在啟用自動匯出事件後，您必須選取將被匯出到 SIEM 系統的事件。

另請參閱： 設定事件匯出到 SIEM 系統 標記事件，將其以 Syslog 格式匯出到 SIEM 系統

頁頂