將卡巴斯基安全管理中心雲端主控台設定為匯出事件到 SIEM 系統

延伸所有 | 折疊所有

若要將事件匯出到 SIEM 系統，您必須在卡巴斯基安全管理中心雲端主控台中設定匯出程序。

若要在卡巴斯基安全管理中心雲端主控台中設定匯出到 SIEM 系統：

在主功能表中，按一下所需管理伺服器名稱旁邊的設定圖示（）。
管理伺服器內容視窗會開啟，並含有所選的一般頁籤。
前往SIEM部分，然後按一下設定連結。
在開啟的右側窗格中，指定匯出設定。
- 在SIEM 系統伺服器位址欄位中，指定目前使用的 SIEM 系統安裝在上面的伺服器的 IP 位址。
  在您的 SIEM 系統設定中檢查此值。
- 在SIEM 系統連接埠欄位中，指定用於在卡巴斯基安全管理中心雲端主控台和您的 SIEM 系統伺服器之間建立連線的連接埠號碼。
  您需在卡巴斯基安全管理中心雲端主控台設定中和您 SIEM 系統的接收器設定中指定此值。
- 在協定中清單中，值是預先選定的。若要傳送訊息到 SIEM 系統，您只能使用 TLS over TCP 通訊協定。
- 在伺服器身分驗證下拉清單中，選擇下列項目之一：
  - 受信任憑證，然後按一下顯示的瀏覽 CA 憑證檔案按鈕以上傳受信任憑證。
    您可以從受信任的憑證頒發機構 (CA) 接收完整的憑證鏈（包含根憑證），並將該檔案上傳到卡巴斯基安全管理中心雲端主控台。卡巴斯基安全管理中心雲端主控台會檢查 SIEM 系統伺服器的憑證鏈是否同樣經受信任的 CA 簽署。
  - SHA 指紋，然後在指紋欄位中輸入 SHA1 指紋，然後按一下新增按鈕。
    您可以在卡巴斯基安全管理中心雲端主控台中指定 SIEM 系統完整憑證鏈（包括根憑證）的 SHA1 指紋。
- 按一下新增主旨名稱/主旨別名連結。
  只有當您在伺服器身分驗證下拉清單中選擇了受信任憑證項目時才會顯示該連結。
  
  主體名稱是接收憑證的網域。如果 SIEM 系統伺服器的網域名稱與 SIEM 系統伺服器憑證的主體名稱不符，則卡巴斯基安全管理中心雲端主控台會無法連線到 SIEM 系統伺服器。但是，如果憑證中的名稱已變更，則 SIEM 系統伺服器可以變更其網域名稱。在此情況下，您可以在主旨名稱/主旨別名欄位中指定主體名稱。如有任何指定的主體名稱與 SIEM 系統憑證的主體名稱相符，則卡巴斯基安全管理中心雲端主控台會視 SIEM 系統伺服器憑證為有效。
- 按一下新增用戶端身分驗證連接，然後在如果沒有任何憑證，您可以產生一個下拉清單中，選擇以下內容之一：
  - 產生金鑰，然後如果您想在卡巴斯基安全管理中心雲端主控台中產生自簽名憑證，請按一下產生按鈕。卡巴斯基安全管理中心雲端主控台將因此儲存所產生的自我簽署憑證，而您可以將憑證的公開部分或 SHA1 指紋傳遞給 SIEM 系統。
    您可以使用設定產生憑證來驗證卡巴斯基安全管理中心雲端主控台。如此一來，您使用的將是由卡巴斯基安全管理中心雲端主控台簽發的自我簽署憑證。在此情況下，您可以同時使用受信任的憑證和 SHA 指紋來驗證 SIEM 系統伺服器。
  - 您可以使用從任何來源（例如，從任何受信任的憑證頒發機構）收到的憑證，請插入憑證。
    然後透過執行以下操作指定憑證及其私鑰：
    1. 在用戶端認證下拉清單中，選擇憑證類型：
      
      X.509 憑證 PEM
      
      X.509 憑證 PKCS12
    2. 在包含憑證的檔案欄位中，上傳帶有憑證的檔案。
    3. 如果您選擇了X.509 憑證 PEM ，請在顯示的金鑰檔案部分中上傳帶有私鑰的檔案。
      帶有憑證的檔案和帶有私鑰的檔案彼此不依賴，並且檔案的載入順序並不重要。
    4. 如果私鑰已編碼，請在密碼或者憑證驗證欄位中指定用於解碼的密碼。否則，您可以將該欄位留空。
- 在日期格式部分，系統日誌值是預先選擇的。
  您只能在最大訊息大小（位元組）欄位中指定傳送至 SIEM 的訊息長度限制。如果超出限制，訊息將被截斷。
如果需要，您可以從管理伺服器資料庫中匯出封存事件，並設定開始匯出封存事件的開始日期：
1. 點擊設定匯出開始日期連接。
2. 在開啟的部分中，在啟動匯出日期自欄位中指定開始日期。
3. 點擊確定按鈕。
將選項切換到自動匯出事件至 SIEM 系統資料庫已啟用位置。
若要檢查 SIEM 系統連線是否已配置，請點擊偵測連線按鈕。
連線狀態即會顯示。
點擊儲存按鈕。

匯出到 SIEM 系統已配置。從現在開始，如果您在 SIEM 系統中配置了事件接收，管理伺服器將匯出標記的事件到 SIEM 系統。如果設定匯出的開始日期，管理伺服器也會匯出儲存在管理伺服器資料庫中從指定日期開始的標記事件。

另請參閱：

設定事件匯出到 SIEM 系統

在 SIEM 系統中設定事件匯出

頁頂