Номер порта, по которому будет установлено соединение между Kaspersky Security Center Linux и сервером SIEM-системы. Это значение необходимо указать в настройках Kaspersky Security Center Linux и настройках приемника в SIEM-системе.
Выберите протокол передачи сообщений в SIEM-систему. Вы можете выбрать протокол TCP/IP, UPD или TLS over TCP.
Укажите следующие параметры TLS, если вы выбираете TLS over TCP:
Аутентификация Сервера
В поле Аутентификация Сервера можно выбрать значения Доверенные сертификаты или же Отпечатки SHA:
Доверенные сертификаты. Вы можете получить полную цепочку сертификатов (включая корневой сертификат) от доверенного центра сертификации (CA) и загрузить его в Kaspersky Security Center Linux. Kaspersky Security Center Linux проверяет, подписана ли цепочка сертификатов SIEM-системы также доверенным центром сертификации или нет.
Чтобы добавить доверенный сертификат, нажмите на кнопку Выбрать файл центра сертификации и загрузите сертификат.
Отпечатки SHA. Вы можете указать отпечатки SHA1 всей цепочки сертификатов SIEM-системы (включая корневой сертификат) в Kaspersky Security Center Linux. Чтобы добавить отпечаток SHA1, введите его в поле Отпечаток и нажмите на кнопку Добавить.
С помощью Добавить проверку подлинности клиента вы можете сгенерировать сертификат для аутентификации Kaspersky Security Center Linux. Таким образом, вы будете использовать самоподписанный сертификат, выпущенный Kaspersky Security Center Linux. В этом случае для аутентификации сервера SIEM-системы можно использовать как доверенный сертификат, так и отпечаток SHA.
Добавить имя субъекта/альтернативное имя субъекта
Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Security Center Linux не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя, если имя изменилось в сертификате. В этом случае вы можете указать имена субъектов в поле Добавить имя субъекта/альтернативное имя субъекта. Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Security Center Linux проверяет сертификат сервера SIEM-системы.
Добавить проверку подлинности клиента
Для аутентификации клиента вы можете вставить свой сертификат или сгенерировать его в Kaspersky Security Center Linux.
Вставить сертификат. Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:
X.509-сертификат PEM. Загрузите файл с сертификатом в поле Файл с сертификатом и файл с закрытым ключом в поле Файл с ключом. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла будут загружены, укажите пароль для расшифровки закрытого ключа в поле Проверка пароля или сертификата. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
X.509-сертификат PKCS12. Загрузите один файл, содержащий сертификат и его закрытый ключ, в поле Файл с сертификатом. Когда файл будет загружен, укажите пароль для расшифровки закрытого ключа в поле Проверка пароля или сертификата. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
Сгенерировать ключ. Вы можете сгенерировать самоподписанный сертификат в Kaspersky Security Center Linux. В результате Kaspersky Security Center Linux сохраняет сгенерированный самоподписанный сертификат, и вы можете передать публичную часть сертификата или SHA1-отпечаток в SIEM-систему.
Заархивированные события можно экспортировать из базы данных Сервера администрирования и задать начальную дату, с которой вы хотите начать экспорт заархивированных событий:
Перейдите по ссылке Установите дату начала экспорта.
В открывшемся разделе укажите дату начала в поле Дата начала экспорта.
Нажмите на кнопку ОК.
Переключите параметр в положение Автоматически экспортировать события в базу SIEM-системы Включено.
Нажмите на кнопку Сохранить.
Экспорт в SIEM-систему настроен. Если вы настроили получение событий в SIEM-системе, Сервер администрирования экспортирует отмеченные события в SIEM-систему. Если вы зададите дату начала экспорта, Сервер администрирования также экспортирует отмеченные события, хранящиеся в базе данных Сервера администрирования, начиная с указанной даты.