Geben Sie im Feld Serveradresse des SIEM-Systems die IP-Adresse des Servers an, auf dem das aktuell verwendete SIEM-System installiert ist.
Dieser Wert muss in den Einstellungen des SIEM-Systems genau bestimmt werden.
Geben Sie im Feld Port des SIEM-Systems die Portnummer an, die zur Herstellung der Verbindung zwischen Kaspersky Security Center Cloud Console und Ihrem SIEM-System verwendet wird.
Dieser Wert muss in den Einstellungen von Kaspersky Security Center Cloud Console und in den Einstellungen des Empfängers im SIEM-System angegeben werden.
Der Wert in der Liste Protokoll ist vorausgewählt. Zum Übertragen von Nachrichten an das SIEM-System können Sie ausschließlich das "TLS over TCP"-Protokoll verwenden.
Wählen Sie in der Dropdown-Liste Authentifizierung des Servers einen der folgenden Einträge:
Vertrauenswürdige Zertifikate. Klicken Sie anschließend auf die angezeigte Schaltfläche CA-Zertifikatsdatei auswählen, um das vertrauenswürdige Zertifikat hochzuladen.
Sie können eine vollständige Zertifikatkette (einschließlich des Root-Zertifikats) von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority – CA) abrufen und diese Datei in Kaspersky Security Center Cloud Console hochladen. Kaspersky Security Center Cloud Console prüft, ob die Zertifikatkette des SIEM-Servers auch von einer vertrauenswürdigen CA signiert ist oder nicht.
SHA-Fingerabdrücke. Geben Sie anschließend im Feld Fingerabdrücke den SHA1-Fingerabdruck ein und klicken Sie auf die Schaltfläche Hinzufügen.
Sie können SHA1-Fingerabdrücke der vollständigen Zertifikatkette des SIEM-Systems (einschließlich des Root-Zertifikats) in Kaspersky Security Center Cloud Console angeben.
Klicken Sie auf den Link Name/alternativen Namen des Antragstellers hinzufügen.
Der Link wird nur angezeigt, wenn Sie in der Dropdown-Liste Authentifizierung des Servers den Eintrag Vertrauenswürdige Zertifikate ausgewählt haben.
Der Antragstellername ist ein Domänenname, für den das Zertifikat empfangen wird. Kaspersky Security Center Cloud Console kann keine Verbindung zu dem SIEM-System-Server herstellen, wenn der Domänenname des SIEM-System-Servers nicht mit dem Antragstellernamen des Zertifikats des SIEM-System-Servers übereinstimmt. Der SIEM-Systemserver kann jedoch seinen Domänennamen ändern, wenn sich der Name im Zertifikat geändert hat. In diesem Fall können Sie die Antragstellernamen im Feld Name des Antragstellers/des alternativen Antragstellers angeben. Wenn einer der angegebenen Antragstellernamen mit dem Antragsteller des Zertifikats für das SIEM-Systems übereinstimmt, validiert Kaspersky Security Center Cloud Console das Zertifikat dieses SIEM-Systems.
Klicken Sie auf den Link Client-Authentifizierung hinzufügen und wählen Sie anschließend in der Dropdown-Liste Wenn Sie kein Zertifikat besitzen, können Sie eins generieren einen der folgenden Einträge aus:
Schlüssel generieren. Klicken Sie anschließend auf die Schaltfläche Generieren, wenn Sie in Kaspersky Security Center Cloud Console ein selbstsigniertes Zertifikat generieren möchten. Infolge dessen speichert Kaspersky Security Center Cloud Console das generierte selbstsignierte Zertifikat und Sie können den öffentlichen Teil des Zertifikats oder den SHA1-Fingerabdruck an das SIEM-System übergeben.
Durch die Verwendung der Einstellung können Sie ein Zertifikat generieren, um Kaspersky Security Center Cloud Console zu authentifizieren. Infolge dessen verwenden Sie ein selbstsigniertes Zertifikat, das von Kaspersky Security Center Cloud Console ausgestellt wurde. In diesem Fall können Sie sowohl ein vertrauenswürdiges Zertifikat als auch einen SHA-Fingerabdruck verwenden, um den SIEM-Systemserver zu authentifizieren.
Zertifikat einfügen, wenn Sie ein Zertifikat verwenden möchten, das Sie von einer beliebigen Quelle erhalten haben, beispielsweise von einer vertrauenswürdigen CA.
Geben Sie anschließend das Zertifikat und dessen privaten Schlüssel wie folgt an:
Wählen Sie in der Dropdown-Liste Client-Zertifizierung den Zertifikatstyp aus:
X.509-Zertifikat PEM
X.509-Zertifikat PKCS12
Laden Sie im Feld Datei mit Zertifikat die Datei mit dem Zertifikat hoch.
Wenn Sie X.509-Zertifikat PEM ausgewählt haben, laden Sie im angezeigten Abschnitt Datei mit Schlüssel die Datei mit dem privaten Schlüssel hoch.
Die Datei mit dem Zertifikat und die Datei mit dem privaten Schlüssel sind nicht voneinander abhängig und die Dateien können in beliebiger Reihenfolge hochgeladen werden.
Wenn der private Schlüssel verschlüsselt ist, geben Sie im Feld Überprüfung von Kennwort oder Zertifikat das Kennwort zum Entschlüsseln an. Andernfalls können Sie das Feld leer lassen.
Im Abschnitt Datumsformat ist der Wert System-Protokoll vorausgewählt.
Die Länge einer Nachricht, die an das SIEM gesendet wird, können Sie nur im Feld Maximale Größe der Nachricht in Byte begrenzen. Wenn dieser Grenzwert überschritten wird, wird die Nachricht abgeschnitten.
Wenn Sie möchten, können Sie archivierte Ereignisse aus der Datenbank des Administrationsservers exportieren und das Startdatum angeben, ab dem Sie den Export archivierter Ereignisse starten möchten:
Klicken Sie auf den Link Geben Sie das Startdatum des Exports an.
Geben Sie im sich öffnenden Abschnitt das Startdatum im Feld Exportieren ab dem Startdatum an.
Klicken Sie auf die Schaltfläche OK.
Setzen Sie die Option auf die Position Auto-Exportieren von Ereignissen in die Datenbank des SIEM-Systems Aktiviert.
Um zu überprüfen, ob die Verbindung mit dem SIEM-System konfiguriert wurde, klicken Sie auf die Schaltfläche Verbindung prüfen.
Der Verbindungsstatus wird angezeigt.
Klicken Sie auf die Schaltfläche Speichern.
Der Export in ein SIEM-System ist konfiguriert. Wenn Sie das Empfangen von Ereignissen in einem SIEM-System konfiguriert haben, exportiert der Administrationsserver von nun an die markierten Ereignisse in ein SIEM-System. Wenn Sie das Startdatum des Exports angegeben haben, exportiert der Administrationsserver auch die markierten Ereignisse, die in der Administrationsserver-Datenbank ab dem angegebenen Datum gespeichert sind.
).