Configuration de Kaspersky Security Center Cloud Console pour l'exportation des événements vers le système SIEM

Tout développer | Tout réduire

Pour exporter des événements vers le système SIEM, vous devez configurer le processus d'exportation dans Kaspersky Security Center Cloud Console.

Pour configurer l'exportation vers les systèmes SIEM dans Kaspersky Security Center Cloud Console :

1. Dans la liste déroulante Paramètres de la console, sélectionnez Intégration.

   La fenêtre Paramètres de la console s'ouvre.

2. Sélectionnez l'onglet Intégration.
3. Sous l'onglet Intégration, sélectionnez la section SIEM.
4. Cliquez sur le lien Paramètres.

   La section Exporter les paramètres s'ouvre.

5. Configurez les paramètres dans la section Exporter les paramètres :
   • Adresse du serveur du système SIEM

     Adresse du serveur hébergeant le système SIEM à utiliser. Cette valeur doit être définie dans les paramètres du système SIEM.

   • Port du système SIEM

     Le numéro de port pour la connexion entre Kaspersky Security Center Cloud Console et le serveur du système SIEM. Il faut définir cette valeur dans les paramètres de Kaspersky Security Center Cloud Console et les paramètres du récepteur du système SIEM.

   • Protocole

     Vous ne pouvez utiliser que le protocole TLS par TCP pour transférer des messages vers le système SIEM.

     Vous pouvez spécifier les paramètres TLS :

     Paramètres d'authentification du serveur :

     • En utilisant une liste de certificats d'autorités de certification :

     Vous pouvez recevoir un fichier avec la liste des certificats des autorités de certification de confiance et charger le fichier sur Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console vérifie si le certificat du serveur système SIEM est également signé par les autorités de certification de confiance ou non. Kaspersky Security Center Cloud Console ne peut pas se connecter au serveur du système SIEM si le certificat du serveur du système SIEM ne provient pas d'autorités de certification de confiance.

     • Sujets des certificats de serveur (facultatif) :

     Le nom du sujet est un nom de domaine pour lequel le certificat est reçu. Kaspersky Security Center Cloud Console ne peut pas se connecter au serveur du système SIEM si le nom de domaine du serveur du système SIEM ne correspond pas au nom du sujet du certificat du serveur du système SIEM. Cependant, le serveur du système SIEM peut changer son nom de domaine après que le certificat a été reçu de la part des autorités de certification de confiance. Dans ce cas, vous pouvez spécifier des noms de sujet dans le champ Sujets des certificats de serveur (facultatif). Si l'un des noms des sujets spécifiés correspond au nom du sujet du certificat du système SIEM, Kaspersky Security Center Cloud Console valide le certificat du serveur du système SIEM.

     • En utilisant les empreintes SHA-1 des certificats du serveur :

     Vous pouvez spécifier les empreintes SHA-1 des certificats du système SIEM à Kaspersky Security Center Cloud Console.

     Paramètres relatifs au certificat client :

     • Générer un nouveau certificat :

     Vous pouvez générer un nouveau certificat. Kaspersky Security Center Cloud Console stocke le certificat généré, et vous pouvez transmettre la partie publique du certificat ou l'empreinte SHA1 au système SIEM.

     • Rechercher un certificat :

     Vous pouvez utiliser un certificat que vous avez reçu de n'importe quelle source, par exemple, de n'importe quelle autorité de certification de confiance. Vous devez spécifier le certificat et sa clé privée en utilisant l'un des types de certificats suivants :

     • Certificat X-509 :

     Vous devez spécifier un fichier avec certificat dans le champ Fichier avec certificat et un fichier avec clé privée dans le champ Fichier avec clé. Les deux fichiers ne dépendent pas l'un de l'autre, et l'ordre de chargement des fichiers est sans importance. Lorsque les deux fichiers sont chargés, vous devez spécifier le mot de passe pour décoder la clé privée. Le mot de passe peut présenter une valeur vide si la clé privée n'est pas encodée.

     • Conteneur pkcs12 :

     Vous devez charger un seul fichier contenant le certificat et sa clé privée. Lorsque le fichier est chargé, vous devez spécifier le mot de passe pour décoder la clé privée. Le mot de passe peut présenter une valeur vide si la clé privée n'est pas encodée.

6. Si vous le souhaitez, vous pouvez exporter des événements archivés à partir de la base de données du Serveur d'administration et définir la date de début à partir de laquelle vous souhaitez lancer l'exportation des événements archivés :
   1. Cliquez sur le lien Définir la date de début de l'exportation.
   2. Dans la section qui s'ouvre, indiquez la date de début dans le champ Date de début de l'exportation.
   3. Cliquez sur le bouton OK.
7. Basculez l'option en position Exporter automatiquement les événements dans la base du système SIEM ACTIVÉE.
8. Cliquez sur le bouton Enregistrer.

L'exportation vers le système SIEM est configurée. Désormais, si vous avez configuré la réception des événements dans un système SIEM, le Serveur d'administration exporte les événements marqués vers un système SIEM. Si vous définissez la date de début de l'exportation, le Serveur d'administration exporte également les événements marqués stockés dans la base de données du Serveur d'administration à compter de la date indiquée.

Voir également : Scénario : configuration de l'export d'événements vers des systèmes SIEM Configuration de l'export d'événements dans le système SIEM

Haut de page