配置 Kaspersky Security Center 云控制台以导出事件到 SIEM 系统
扩展所有 | 折叠所有
要将事件导出到 SIEM 系统,必须在 Kaspersky Security Center 云控制台中配置导出流程。
要在 Kaspersky Security Center 云控制台中配置到 SIEM 系统的导出:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 (
)。管理服务器属性窗口打开,常规选项卡被选中。
- 转到SIEM部分,然后单击设置链接。
- 在打开的右侧窗格中,指定导出设置。
- 在SIEM 系统服务器地址字段中,指定当前使用的 SIEM 系统安装在上面的服务器的 IP 地址。
在您的 SIEM 系统设置中检查此值。
- 在SIEM 系统端口字段中,指定用于在Kaspersky Security Center 云控制台和您的 SIEM 系统服务器之间建立连接的端口号。
您在 Kaspersky Security Center 云控制台设置中和您 SIEM 系统的接收设置中指定该值。
- 在协议中列表中,值是预先选定的。您只能使用基于 TCP 协议的 TLS 将消息传输到 SIEM 系统。
- 在“服务器身份验证”下拉列表中,选择下列项之一:
- 受信任证书,然后单击显示的浏览 CA 证书文件按钮以上传受信任证书。
您可以接收来自受信任证书颁发机构 (CA) 的完整证书链(包括根证书),并将该文件上传到 Kaspersky Security Center 云控制台。Kaspersky Security Center 云控制台会检查 SIEM 系统服务器的证书链是否也具有受信任 CA 的签名。
- SHA 指纹,然后在指纹字段中输入 SHA1 指纹,然后单击添加按钮。
您可以在 Kaspersky Security Center 云控制台中指定 SIEM 系统的完整证书链(包括根证书)的 SHA1 指纹。
- 单击添加主题名称/主题备选名称链接。
仅当您在服务器身份验证下拉列表中选择了受信任证书项时才会显示该链接。
主题名称是接收证书的域名。如果 SIEM 系统服务器的域名与 SIEM 系统服务器证书的主题名称不匹配,Kaspersky Security Center 云控制台将无法连接到 SIEM 系统服务器。但是,SIEM 系统服务器的域名在证书中发生变化,则可以更改该域名。在这种情况下,您可以在“主题名称/主题备选名称”字段中指定主题名称。如果任一指定主题名称与 SIEM 系统证书的主题名称匹配,Kaspersky Security Center 云控制台将验证 SIEM 系统服务器证书。
- 单击添加客户端身份验证链接,然后在如果您没有任何证书,您可以生成一个下拉列表中,选择以下内容之一:
- 在数据格式部分,系统日志值是预先选择的。
您只能在“最大消息大小,字节”字段中指定发送到 SIEM 的消息长度限制。如果超出限制,消息将被截断。
- 如果需要,您可以从管理服务器数据库中导出压缩的事件,并设置要开始导出的压缩事件的开始日期:
- 单击设置导出起始日期链接。
- 在打开的区域的“导出的起始日期”字段中,指定开始日期。
- 单击“确定”按钮。
- 将选项切换到“自动导出事件至 SIEM 系统数据库已启用”位置。
- 要检查 SIEM 系统连接是否已配置,请单击检查连接按钮。
将显示连接状态。
- 单击“保存”按钮。
到 SIEM 系统的导出已配置。从现在开始,如果您在 SIEM 系统中配置了事件接收,管理服务器会将标记的事件导出到 SIEM 系统。如果设置了导出的开始日期,管理服务器还会从管理服务器数据库中导出从指定日期开始的标记事件。
页顶