將卡巴斯基安全管理中心雲端主控台設定為匯出事件到 SIEM 系統
延伸所有 | 折疊所有
若要將事件匯出到 SIEM 系統,您必須在卡巴斯基安全管理中心雲端主控台中設定匯出程序。
若要在卡巴斯基安全管理中心雲端主控台中設定匯出到 SIEM 系統:
- 在主功能表中,按一下所需管理伺服器名稱旁邊的設定圖示()。
管理伺服器內容視窗將開啟。
- 在一般頁籤,選取 SIEM 區段。
- 點擊設定連結。
匯出設定區域將開啟。
- 在匯出設定區域中指定設定:
- SIEM 系統伺服器位址
安裝了目前使用的 SIEM 系統的伺服器的 IP 位址。在您的 SIEM 系統設定中檢查此值。
- SIEM 系統連接埠
在卡巴斯基安全管理中心雲端主控台與您的 SIEM 系統伺服器之間建立連線時所用的連接埠號。您需在卡巴斯基安全管理中心雲端主控台設定中和您 SIEM 系統的接收器設定中指定此值。
- 協定
若要傳送訊息到 SIEM 系統,您只能使用 TLS over TCP 通訊協定。若要如此做,請指定 TLS 設定:
- 伺服器身分驗證
在伺服器身分驗證欄位,您可以選擇受信任的憑證或者 SHA 指紋值:
您可以使用新增用戶端身分驗證設定,產生驗證卡巴斯基安全管理中心雲端主控台時所用的憑證。如此一來,您使用的將是由卡巴斯基安全管理中心雲端主控台簽發的自我簽署憑證。在此情況下,您可以同時使用受信任的憑證和 SHA 指紋來驗證 SIEM 系統伺服器。
- 新增主體名稱/主體別名
主體名稱是接收憑證的網域。如果 SIEM 系統伺服器的網域名稱與 SIEM 系統伺服器憑證的主體名稱不符,則卡巴斯基安全管理中心雲端主控台會無法連線到 SIEM 系統伺服器。但是,如果憑證中的名稱已變更,則 SIEM 系統伺服器可以變更其網域名稱。在此情況下,您可以在 新增主體名稱/主體別名欄位中指定主體名稱。如有任何指定的主體名稱與 SIEM 系統憑證的主體名稱相符,則卡巴斯基安全管理中心雲端主控台會視 SIEM 系統伺服器憑證為有效。
- 新增用戶端身分驗證
在用戶端身分驗證部分,您可以插入您的憑證或是在卡巴斯基安全管理中心雲端主控台中產生憑證。
- 插入憑證。您可以使用從任何來源(例如,從任何受信任的憑證頒發機構)收到的憑證。您必須使用以下憑證類型之一指定憑證及其私密金鑰:
- X.509 憑證 PEM。在包含憑證的檔案欄位中上傳帶有憑證的檔案,在包含金鑰的檔案欄位中上傳帶有私密金鑰的檔案。這兩個檔案互不相依,檔案的載入順序並不重要。當兩個檔案都上傳後,在密碼或者憑證驗證欄位中指定解碼私密金鑰的密碼。如果未編碼私密金鑰未編碼,則密碼可以為空值。
- X.509 憑證 PKCS12。上傳包含憑證及其私密金鑰的單個檔案到包含憑證的檔案欄位。當兩個檔案都上傳後,在密碼或者憑證驗證欄位中指定解碼私密金鑰的密碼。如果未編碼私密金鑰未編碼,則密碼可以為空值。
- 生產金鑰。您可以在卡巴斯基安全管理中心雲端主控台中產生自我簽署憑證。卡巴斯基安全管理中心雲端主控台將因此儲存所產生的自我簽署憑證,而您可以將憑證的公開部分或 SHA1 指紋傳遞給 SIEM 系統。
- 如果需要,您可以從管理伺服器資料庫中匯出封存事件,並設定開始匯出封存事件的開始日期:
- 點擊設定匯出開始日期連接。
- 在開啟的部分中,在啟動匯出日期自欄位中指定開始日期。
- 點擊確定按鈕。
- 將選項切換到 自動匯出事件至 SIEM 系統資料庫 已啟用 位置。
- 若要檢查 SIEM 系統連線是否設定成功,請點擊偵測連線按鈕。
連線狀態即會顯示。
- 點擊儲存按鈕。
匯出到 SIEM 系統已配置。從現在開始,如果您在 SIEM 系統中配置了事件接收,管理伺服器將匯出標記的事件到 SIEM 系統。如果設定匯出的開始日期,管理伺服器也會匯出儲存在管理伺服器資料庫中從指定日期開始的標記事件。
頁頂