Настройка Kaspersky Security Center Cloud Console для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Чтобы экспортировать события в SIEM-систему, вам необходимо настроить процесс экспорта из Kaspersky Security Center Cloud Console.

Чтобы настроить экспорт в SIEM-системы из Kaspersky Security Center Cloud Console:

1. В раскрывающемся списке Параметры консоли выберите Интеграция.

   Откроется окно Параметры консоли.

2. Выберите закладку Интеграция.
3. На закладке Интеграция выберите раздел SIEM.
4. Перейдите по ссылке Параметры.

   Откроется раздел Параметры экспорта.

5. Укажите параметры в разделе Параметры экспорта:
   • Адрес сервера SIEM-системы

     Адрес сервера, на котором установлена используемая SIEM-система. Это значение необходимо уточнить в настройках SIEM-системы.

   • Порт SIEM-системы

     Номер порта, по которому будет установлено соединение между Kaspersky Security Center Cloud Console и сервером SIEM-системы. Это значение необходимо указать в настройках Kaspersky Security Center Cloud Console и настройках приемника в SIEM-системе.

   • Протокол

     Вы можете использовать только TLS over TCP для передачи сообщений в SIEM-систему.

     Вы можете указать параметры TLS:

     Параметры для аутентификации Сервера:

     • Используя список сертификатов CA (Certificate Authority):

     Вы можете получить файл со списком сертификатов от аккредитованного центра сертификации и загрузить его в Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console проверяет, подписан ли сертификат сервера SIEM-системы также аккредитованным центром сертификации или нет. Kaspersky Security Center Cloud Console не может подключиться к серверу SIEM-системы, если сертификат сервера SIEM-системы не получен от аккредитованного центра сертификации.

     • Субъекты сертификатов сервера (необязательно):

     Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Security Center Cloud Console не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя после получения сертификата от аккредитованного центра сертификации. В этом случае вы можете указать имена субъектов в поле Субъекты сертификатов сервера (необязательно). Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Security Center Cloud Console проверяет сертификат сервера SIEM-системы.

     • Используя SHA-1 отпечатки сертификатов сервера:

     Вы можете указать в Kaspersky Security Center Cloud Console SHA-1 отпечатки сертификатов SIEM-системы.

     Параметры для сертификации Клиентов:

     • Сформировать новый:

     Вы можете создать новый сертификат. Kaspersky Security Center Cloud Console сохраняет сгенерированный сертификат, и вы можете передать публичную часть сертификата или SHA1-отпечаток в SIEM-систему.

     • Выберите сертификат:

     Вы можете использовать сертификат, полученный из любого источника, например, от любого аккредитованного центра сертификации. Вы должны указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:

     • Сертификат X-509:

     Вы должны указать файл с сертификатом в поле Файл с сертификатом и файл с закрытым ключом в поле Файл с ключом. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла загружены, необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

     • Контейнер с сертификатом в формате PKCS#12:

     Вы должны загрузить один файл, содержащий сертификат и закрытый ключ сертификата. Когда файл загружен, тогда необходимо указать пароль для расшифровки закрытого ключа. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.

6. Вы можете экспортировать заархивированные события из базы данных Сервера администрирования и установить дату начала, с которой вы хотите начать экспорт заархивированных событий:
   1. Перейдите по ссылке Установите дату начала экспорта.
   2. В открывшемся разделе, укажите дату начала экспорта в поле Дата начала экспорта.
   3. Нажмите на кнопку ОК.
7. Переключите параметр в положение Автоматически экспортировать события в базу SIEM-системы Включено.
8. Нажмите на кнопку Сохранить.

Экспорт в SIEM-систему настроен. Если вы настроили получение событий в SIEM-системе, Сервер администрирования экспортирует выбранные события в SIEM-систему. Если вы установите дату начала экспорта, Сервер администрирования также экспортирует выбранные события, хранящиеся в базе данных Сервера администрирования, с указанной даты.

См. также: Сценарий: Настройка экспорта событий в SIEM-системы Настройка экспорта событий в SIEM-системе

В начало