イベントを SIEM システムにエクスポートするための Kaspersky Security Center Cloud コンソールの設定

SIEM システムにイベントをエクスポートするには、Kaspersky Security Center Cloud コンソールでエクスポートのプロセスを設定する必要があります。

Kaspersky Security Center Cloud コンソールで SIEM システムへのエクスポートを設定するには：

メインメニューで、目的の管理サーバーの名前の横にある設定アイコン（）をクリックします。
管理サーバーのプロパティウィンドウが開きます。
［全般］タブで、［SIEM］セクションを選択します。
［設定］をクリックします。
［エクスポート設定］セクションが開きます。
［エクスポート設定］セクションで設定を指定します：
- SIEM システムサーバーアドレス
  現在使用している SIEM システムがインストールされているサーバーの IP アドレスです。SIEM システム設定でこの値を確認してください。
- SIEM システムのポート
  Kaspersky Security Center Cloud コンソールと SIEM システムサーバー間の接続を確立するために使用するポート番号。Kaspersky Security Center Cloud コンソールの設定と SIEM システムのレシーバ設定でこの値を指定します。
- プロトコル
  SIEM システムへのメッセージの送信には、TLS over TCP プロトコルのみ使用できます。そのためには、TLS 設定を指定します：
  - サーバー認証
    ［サーバー認証］フィールドでは、信頼する証明書または SHA フィンガープリントを選択できます：
    - 信頼できる証明書：信頼できる証明書認証局（CA）からルート証明書を含む完全な証明書チェーンを受け取り、そのファイルを受け取り、ファイルを Kaspersky Security Center Cloud コンソールにアップロードできます。Kaspersky Security Center Cloud コンソールは、SIEM システムサーバーの証明書チェーンも信頼できる CA によって署名されているかどうかを確認します。
      信頼できる証明書を追加するには、［CA 証明書を参照］をクリックして、証明書をアップロードします。
    - SHA フィンガープリント：Kaspersky Security Center Cloud コンソールで、SIEM システムの完全な証明書チェーン（ルート証明書を含む）の SHA1 サムプリントを指定できます。SHA1 サムプリントを追加するには、［サムプリント］フィールドでサムプリントを入力し、［追加］をクリックします。
    ［クライアント認証を追加する］を使用して、Kaspersky Security Center Cloud コンソールを認証する証明書を生成することができます。このようにして、Kaspersky Security Center Cloud コンソールが発行した自己署名証明書を使用します。この場合、SIEM システムサーバーの認証に、信頼できる証明書と SHA フィンガープリントの両方を使用することができます。
  - サブジェクト名 / サブジェクト代替名を追加する
    サブジェクト名は、証明書を受け取るドメインの名前です。SIEM システムサーバーのドメイン名が SIEM システムサーバー証明書のサブジェクト名と一致しない場合、Kaspersky Security Center Cloud コンソールは SIEM システムサーバーに接続できません。しかし、SIEM システムサーバーは証明書内で名前が変更された場合にドメイン名を変更することがあります。この場合、サブジェクト名を［サブジェクト名 / サブジェクト代替名を追加する］で指定することができます。指定されたサブジェクト名のいずれかが SIEM システム証明書のサブジェクト名と一致する場合、Kaspersky Security Center Cloud コンソールは SIEM システムサーバー証明書を検証します。
  - クライアント認証を追加する
    クライアント認証用に、自身の証明書を挿入するか、Kaspersky Security Center Cloud コンソールで生成することができます。
    - 証明書を挿入する:CA など、任意の発行元から受け取った証明書を使用できます。次のいずれかの証明書タイプを使用して、証明書とその秘密鍵を指定する必要があります：
      X.509 証明書 PEM：［証明書のファイル］フィールドに証明書のファイルをアップロードし、［鍵のファイル］フィールドに秘密鍵のファイルをアップロードします。両方のファイルは相互に依存せず、ファイルを読み込む順序は重要ではありません。両方のファイルがアップロードされたら、秘密鍵をデコードするためのパスワードを［パスワードまたは証明書の検証］で指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
      X.509 証明書 PKCS12：証明書と秘密鍵を含む単一のファイルを［証明書のファイル］フィールドにアップロードします。ファイルをアップロードしたら、秘密鍵をデコードするためのパスワードを［パスワードまたは証明書の検証］で指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
    - 鍵を生成する：Kaspersky Security Center Cloud コンソールで自己署名証明書を生成できます。Kaspersky Security Center Cloud コンソールは生成された自己署名証明書を保存し、証明書の公開部分または SHA-1 フィンガープリントを SIEM システムに渡すことができます。
必要に応じて、管理サーバーデータベースからアーカイブイベントをエクスポートし、アーカイブイベントのエクスポートを開始する日付を設定できます：
1. ［エクスポートの開始日を設定］をクリックします。
2. 表示されたセクションの［エクスポートの開始日］に、開始日を指定します。
3. ［OK］をクリックします。
オプションを［SIEM システムデータースへのイベントの自動エクスポートが［有効］です］に切り替えます。
SIEM システム接続が正常に設定されていることを確認するには、［接続の確認］をクリックします。
接続のステータスが表示されます。
［保存］をクリックします。

SIEM システムへのエクスポートが設定されました。これで、イベントの受信を SIEM システムで設定した場合は、マーキングされたイベントが管理サーバーから SIEM システムにエクスポートされます。エクスポートの開始日を設定した場合、管理サーバーは指定された日付からも管理サーバーデータベース内のマーキングされたイベントをエクスポートします。