Экспорт событий в SIEM-системы

В этом разделе описывается, как настроить экспорт событий в SIEM-системы.

Сценарий: настройка экспорта событий в SIEM-системы

В этом разделе представлен сценарий настройки экспорта событий с Сервера администрирования во внешние SIEM-системы. Экспорт информации о событиях во внешние SIEM-системы позволяет администраторам SIEM-систем оперативно реагировать на события системы безопасности, произошедшие на управляемом устройстве или группах устройств.

Предварительные требования

Перед началом настройки экспорта событий в Kaspersky Security Center Cloud Console:

• Узнайте больше о методах экспорта событий.
• Убедитесь, что вам известны значения системных параметров.

Вы можете выполнять шаги этого сценария в любом порядке.

Этапы

Процесс экспорта событий в SIEM-систему состоит из следующих этапов:

• Настройка SIEM-системы для получения событий из Kaspersky Security Center Cloud Console

  Вам необходимо настроить получение событий из Kaspersky Security Center Cloud Console в SIEM-системе.

• Выбор событий для экспорта

  Вам нужно выбрать, какие события вы хотите экспортировать в SIEM-систему. Сначала отметьте общие события, которые происходят во всех управляемых приложениях "Лаборатории Касперского". Также можно отметить события для конкретных управляемых приложений "Лаборатории Касперского".

• Настройка Kaspersky Security Center Cloud Console для экспорта событий в SIEM-систему

  Вам необходимо настроить Kaspersky Security Center Cloud Console для начала экспорта событий в SIEM-систему.

Результаты

После настройки экспорта событий в SIEM-систему вы можете просматривать результаты экспорта, если вы выбрали события, которые хотите экспортировать.

Предварительные условия

Развернуть все | Свернуть все

При настройке автоматического экспорта событий в Kaspersky Security Center Cloud Console необходимо указать некоторые параметры SIEM-системы. Рекомендуется уточнить эти параметры заранее, чтобы подготовиться к настройке Kaspersky Security Center Cloud Console.

Для настройки автоматического экспорта событий в SIEM-систему необходимо знать значения следующих параметров:

• Адрес сервера SIEM-системы

  Адрес сервера, на котором установлена используемая SIEM-система. Это значение необходимо уточнить в настройках SIEM-системы.

• Порт сервера SIEM-системы

  Номер порта, по которому будет установлено соединение между Kaspersky Security Center Cloud Console и сервером SIEM-системы. Это значение необходимо указать в настройках Kaspersky Security Center Cloud Console и настройках приемника в SIEM-системе.

• Протокол

  Протокол, используемый для передачи сообщений из Kaspersky Security Center Cloud Console в SIEM-систему. Это значение необходимо указать в настройках Kaspersky Security Center Cloud Console и настройках приемника в SIEM-системе.

Об экспорте событий

Kaspersky Security Center Cloud Console позволяет получать информацию о событиях, произошедших в процессе работы Сервера администрирования и приложений "Лаборатории Касперского", установленных на управляемых устройствах. Информация о событиях сохраняется в базе данных Сервера администрирования.

Вы можете использовать экспорт событий в централизованных системах, работающих с вопросами безопасности на организационном и техническом уровнях, обеспечивающих мониторинг систем безопасности и консолидирующих данные из различных решений. К ним относятся SIEM-системы, обеспечивающие анализ предупреждений систем безопасности и событий сетевого аппаратного обеспечения и приложений в режиме реального времени, а также центры управления безопасностью (Security Operation Center, SOC).

SIEM-системы получают данные из многих источников, включая сети, системы безопасности, серверы, базы данных и приложения. Они также обеспечивают функцию объединения обработанных данных, что не позволит вам пропустить критические события. Кроме того, эти системы выполняют автоматический анализ связанных событий и сигналов тревоги для уведомления администраторов о вопросах системы безопасности, требующих незамедлительного решения. Уведомления могут отображаться в панели индикаторов или рассылаться по сторонним каналам, например, по электронной почте.

В процедуре экспорта событий из Kaspersky Security Center Cloud Console во внешние SIEM-системы участвуют две стороны: отправитель событий – Kaspersky Security Center Cloud Console – и получатель событий – SIEM-система. Для успешного экспорта событий необходимо выполнить настройки и в используемой SIEM-системе, и в Kaspersky Security Center Cloud Console. Последовательность настройки не имеет значения: Вы можете либо сначала настроить отправку событий в Kaspersky Security Center Cloud Console, а затем получение событий в SIEM-системе, либо наоборот.

Экспорт событий в формате Syslog

Вы можете отправлять события в формате Syslog в любую SIEM-систему. Используя формат Syslog, вы можете передавать любые события, произошедшие на Сервере администрирования и в приложениях "Лаборатории Касперского", установленных на управляемых устройствах. При экспорте событий в формате Syslog можно выбирать, какие именно события будут переданы в SIEM-систему.

Получение событий SIEM-системой

SIEM-система должна принимать и корректно анализировать события, получаемые из Kaspersky Security Center Cloud Console. Для этого необходимо выполнить настройку SIEM-системы. Конфигурация зависит от конкретной используемой SIEM-системы. Однако в конфигурациях всех SIEM-систем существует ряд общих этапов, таких как настройка приемника и анализатора.

Настройка экспорта событий в SIEM-системе

В процедуре экспорта событий из Kaspersky Security Center Cloud Console во внешние SIEM-системы участвуют две стороны: отправитель событий – Kaspersky Security Center Cloud Console – и получатель событий – SIEM-система. Экспорт событий необходимо настроить в используемой SIEM-системе и в Kaspersky Security Center Cloud Console.

Настройки, выполняемые в SIEM-системе, зависят от того, какую систему вы используете. В общем случае для всех SIEM-систем необходимо настроить приемник сообщений и, при необходимости, анализатор сообщений, для того чтобы разложить полученные сообщения на поля.

Настройка приемника сообщений

Для SIEM-системы необходимо настроить приемник для получения событий, отправляемых Kaspersky Security Center Cloud Console. В общем случае в SIEM-системе необходимо указать следующие параметры:

• Порт

  Укажите номер порта для подключения к Kaspersky Security Center Cloud Console. Необходимо указать тот же номер порта, который был выбран в Kaspersky Security Center Cloud Console, в процессе настройки с SIEM-системой.

• Протокол передачи сообщений или тип исходных данных

  Укажите формат Syslog.

В зависимости от используемой SIEM-системы может потребоваться указать дополнительные параметры приемника сообщений.

Анализатор сообщений

Экспортируемые события передаются в SIEM-систему в виде сообщений. Затем к этим сообщениям применяется анализатор, для того чтобы информация о событиях была должным образом передана в SIEM-систему. Анализатор сообщений встроен в SIEM-систему; он используется для разбиения сообщения на поля, такие как идентификатор сообщения, уровень важности, описание и прочие параметры. В результате SIEM-система имеет возможность выполнять обработку событий, полученных из Kaspersky Security Center Cloud Console, таким образом, чтобы они сохранялись в базе данных SIEM-системы.

Выбор событий для экспорта в SIEM-системы в формате Syslog

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться во внешнюю SIEM-систему.

Вы можете настроить экспорт событий в формате Syslog во внешнюю систему на основе одного из следующих условий:

• Выбор общих событий. Если вы выберите экспортируемые события в политике, в свойствах события или в свойствах Сервера администрирования, то в SIEM-систему будут переданы выбранные события, которые произошли во всех приложениях, управляемых данной политикой. Если экспортируемые события были выбраны в политике, вам не удастся их переопределить для отдельного приложения, управляемой этой политикой.
• Выбор событий для управляемого приложения. Если вы выбираете экспортируемые события для управляемого приложения, установленного на управляемых устройствах, то в SIEM-систему будут переданы только события, которые произошли в этом приложении.

Выбор событий приложений "Лаборатории Касперского" для экспорта в формате Syslog

Если вы хотите выполнить экспорт событий, произошедших в определенном управляемом приложении, установленном на управляемых устройствах, выберите события для экспорта политике приложения. В этом случае отмеченные события экспортируются со всех устройств, входящих в область действия политики.

Чтобы отметить события для экспорта для определенного управляемого приложения:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Политики и профили политик.
2. Выберите политику приложения, для которого нужно отметить события.

   Откроется окно свойств политики.

3. Перейти в раздел Настройка событий.
4. Установите флажки рядом с событиями, которые требуется экспортировать в SIEM-систему.
5. Нажмите на кнопку Отметить для экспорта в SIEM-систему по протоколу Syslog.

   Также вы можете выбрать событие для экспорта в SIEM-систему в разделе Регистрация событий, который открывается по ссылке на событие.

6. Флажок () появляется в столбце Syslog для события или событий, которые вы отметили для экспорта в SIEM-систему.
7. Нажмите на кнопку Сохранить.

Отмеченные события из управляемого приложения готовы к экспорту в SIEM-систему.

Вы можете отметить, какие события экспортировать в SIEM-систему для конкретного управляемого устройства. В случае, если ранее экспортируемые события были выбраны в политике приложения, вам не удастся переопределить выбранные события для управляемого устройства.

Чтобы выбрать события для управляемого устройства:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Управляемые устройства.

   Отобразится список управляемых устройств.

2. Перейдите по ссылке с названием требуемого устройства в списке управляемых устройств.

   Откроется окно свойств выбранного устройства.

3. Перейти в раздел Приложения.
4. Перейдите по ссылке с названием требуемого приложения в списке приложений.
5. Перейдите в раздел Настройка событий.
6. Установите флажки рядом с событиями, которые требуется экспортировать в SIEM-систему.
7. Нажмите на кнопку Отметить для экспорта в SIEM-систему по протоколу Syslog.

   Также вы можете выбрать событие для экспорта в SIEM-систему в разделе Регистрация событий, который открывается по ссылке на событие.

8. Флажок () появляется в столбце Syslog для события или событий, которые вы отметили для экспорта в SIEM-систему.

Теперь Сервер администрирования отправляет в SIEM-систему выбранные события, если экспорт в SIEM-систему настроен.

Выбор общих событий для экспорта в формате Syslog

Вы можете отметить общие события, которые Сервер администрирования будет экспортировать в SIEM-системы, используя формат Syslog.

Чтобы выбрать общие события для экспорта в SIEM-систему:

1. Выполните одно из следующих действий:
   • В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.
   • В главном окне приложения перейдите в раздел Активы (Устройства) → Политики и профили политик, а затем перейдите по ссылке политики.
2. В открывшемся окне перейдите на вкладку Настройка событий.
3. Нажмите Отметить для экспорта в SIEM-систему по протоколу Syslog.

   Также вы можете выбрать событие для экспорта в SIEM-систему в разделе Регистрация событий, который открывается по ссылке на событие.

4. Флажок () появляется в столбце Syslog для события или событий, которые вы отметили для экспорта в SIEM-систему.

Теперь Сервер администрирования отправляет в SIEM-систему выбранные события, если экспорт в SIEM-систему настроен.

Об экспорте событий в формате Syslog

Используя формат Syslog можно выполнять экспорт в SIEM-системы событий, произошедших на Сервере администрирования и в других приложениях "Лаборатории Касперского", установленных на управляемых устройствах.

Syslog – это стандартный протокол регистрации сообщений. Этот протокол позволяет разделить программное обеспечение, генерирующее сообщения, систему, в которой хранятся сообщения, и программное обеспечение, выполняющее анализ и отчетность по сообщениям. Каждому сообщению присваивается код устройства, указывающий тип программного обеспечения, с помощью которого было создано сообщение, и уровень важности.

Формат Syslog определяется документами Request for Comments (RFC), опубликованными Internet Engineering Task Force. Стандарт RFC 5424 используется для экспорта событий из Kaspersky Security Center Cloud Console во внешние системы.

В Kaspersky Security Center Cloud Console можно настроить экспорт событий во внешние системы с использованием формата Syslog.

Процесс экспорта состоит из двух шагов:

1. Включение автоматического экспорта событий. На этом шаге выполняется настройка Kaspersky Security Center Cloud Console таким образом, чтобы выполнялась отправка событий в SIEM-систему. Отправка событий из Kaspersky Security Center Cloud Console начинается сразу после включения автоматического экспорта.
2. Выбор событий, которые будут экспортироваться во внешнюю систему. На этом шаге вам нужно выбрать, какие события будут экспортироваться в SIEM-систему.

Настройка Kaspersky Security Center Cloud Console для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Чтобы экспортировать события в SIEM-систему, вам необходимо настроить процесс экспорта из Kaspersky Security Center Cloud Console.

Чтобы настроить экспорт в SIEM-системы из Kaspersky Security Center Cloud Console:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел SIEM.
3. Перейдите по ссылке Параметры.

   Откроется раздел Параметры экспорта.

4. Укажите параметры в разделе Параметры экспорта:
   • Адрес сервера SIEM-системы

     Адрес сервера, на котором установлена используемая SIEM-система. Это значение необходимо уточнить в настройках SIEM-системы.

   • Порт SIEM-системы

     Номер порта, по которому будет установлено соединение между Kaspersky Security Center Cloud Console и сервером SIEM-системы. Это значение необходимо указать в настройках Kaspersky Security Center Cloud Console и настройках приемника в SIEM-системе.

   • Протокол

     Вы можете использовать только TLS over TCP для передачи сообщений в SIEM-систему. Для этого укажите параметры TLS:

     • Аутентификация Сервера

       В поле Аутентификация Сервера можно выбрать значения Доверенные сертификаты или же Отпечатки SHA:

       • Доверенные сертификаты. Вы можете получить полную цепочку сертификатов (включая корневой сертификат) от доверенного центра сертификации (CA) и загрузить его в Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console проверяет, подписана ли цепочка сертификатов SIEM-системы также доверенным центром сертификации или нет.

         Чтобы добавить доверенный сертификат, нажмите на кнопку Выбрать файл центра сертификации и загрузите сертификат.

       • Отпечатки SHA. Вы можете указать отпечатки SHA1 всей цепочки сертификатов SIEM-системы (включая корневой сертификат) в Kaspersky Security Center Cloud Console. Чтобы добавить отпечаток SHA1, введите его в поле Отпечатки и нажмите на кнопку Добавить.

       С помощью Добавить проверку подлинности клиента вы можете сгенерировать сертификат для аутентификации Kaspersky Security Center Cloud Console. Таким образом, вы будете использовать самоподписанный сертификат, выпущенный Kaspersky Security Center Cloud Console. В этом случае для аутентификации сервера SIEM-системы можно использовать как доверенный сертификат, так и отпечаток SHA.

     • Добавить имя субъекта/альтернативное имя субъекта

       Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Security Center Cloud Console не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя, если имя изменилось в сертификате. В этом случае вы можете указать имена субъектов в поле Добавить имя субъекта/альтернативное имя субъекта. Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Security Center Cloud Console проверяет сертификат сервера SIEM-системы.

     • Добавить проверку подлинности клиента

       Для аутентификации клиента вы можете вставить свой сертификат или сгенерировать его в Kaspersky Security Center Cloud Console.

       • Вставить сертификат. Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:
         • X.509-сертификат PEM. Загрузите файл с сертификатом в поле Файл с сертификатом и файл с закрытым ключом в поле Файл с ключом. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла будут загружены, укажите пароль для расшифровки закрытого ключа в поле Проверка пароля или сертификата. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
         • X.509-сертификат PKCS12. Загрузите один файл, содержащий сертификат и его закрытый ключ, в поле Файл с сертификатом. Когда файл будет загружен, укажите пароль для расшифровки закрытого ключа в поле Проверка пароля или сертификата. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
       • Сгенерировать ключ. Вы можете сгенерировать самоподписанный сертификат в Kaspersky Security Center Cloud Console. В результате Kaspersky Security Center Cloud Console сохраняет сгенерированный самоподписанный сертификат, и вы можете передать публичную часть сертификата или SHA1-отпечаток в SIEM-систему.
5. Вы можете экспортировать заархивированные события из базы данных Сервера администрирования и установить дату начала, с которой вы хотите начать экспорт заархивированных событий:
   1. Перейдите по ссылке Установите дату начала экспорта.
   2. В открывшемся разделе, укажите дату начала экспорта в поле Дата начала экспорта.
   3. Нажмите на кнопку ОК.
6. Переключите параметр в положение Автоматически экспортировать события в базу SIEM-системы Включено.
7. Чтобы убедиться, что соединение с SIEM-системой успешно настроено, нажмите на кнопку Проверить подключение.

   Отобразится статус подключения.

8. Нажмите на кнопку Сохранить.

Экспорт в SIEM-систему настроен. Если вы настроили получение событий в SIEM-системе, Сервер администрирования экспортирует выбранные события в SIEM-систему. Если вы установите дату начала экспорта, Сервер администрирования также экспортирует выбранные события, хранящиеся в базе данных Сервера администрирования, с указанной даты.

Просмотр результатов экспорта

Вы можете узнать, успешно ли завершилась процедура экспорта. Для этого проверьте, были ли получены SIEM-системой сообщения, содержащие экспортируемые события.

Если отправленные из Kaspersky Security Center Cloud Console события получены и правильно интерпретированы SIEM-системой, значит, настройка на обеих сторонах выполнена корректно. В противном случае проверьте и при необходимости исправьте настройки Kaspersky Security Center Cloud Console и SIEM-системы.

Ниже приведен пример событий, экспортированных в систему ArcSight. Например, первое событие – это критическое событие Сервера администрирования: Статус устройства "Критический".

Отображение экспортированных событий зависит от используемой SIEM-системы.

Пример событий