Le numéro de port pour une connexion entre Kaspersky Security Center Linux et le serveur du système SIEM. Il faut définir cette valeur dans les paramètres de Kaspersky Security Center Linux et les paramètres du récepteur du système SIEM.
Choisissez le protocole de transfert des messages dans le système SIEM. Vous avez le choix entre les protocoles TCP/IP, UDP ou TLS par TCP.
Précisez les paramètres TLS suivants si vous sélectionnez le protocole TLS par TCP :
Authentification du Serveur
Dans le champ Authentification du Serveur, vous pouvez sélectionner les valeurs des Certificats de confiance ou des Empreintes SHA :
Certificats de confiance. Vous pouvez recevoir une chaîne de certificats complète (y compris le certificat racine) d'une autorité de certification de confiance et charger le fichier dans Kaspersky Security Center Linux. Kaspersky Security Center Linux vérifie si la chaîne de certificats du serveur du système SIEM est également signé par une autorité de certification de confiance ou non.
Pour ajouter un certificat de confiance, cliquez sur le bouton Rechercher le fichier des certificats CA, puis téléchargez le certificat.
Empreintes SHA. Vous pouvez créer des empreintes digitales SHA1 de la chaîne complète de certificats du système SIEM (y compris le certificat racine) dans Kaspersky Security Center Linux. Pour ajouter une empreinte numérique SHA1, saisissez-la dans le champ Empreintes, puis cliquez sur le bouton Ajouter.
Le paramètre Ajouter l'authentification du client permet de générer un certificat pour authentifier Kaspersky Security Center Linux. Ainsi, vous utiliserez un certificat auto-signé délivré par Kaspersky Security Center Linux. Dans ce cas, vous pouvez utiliser à la fois un certificat de confiance et une empreinte digitale SHA pour authentifier le serveur système SIEM.
Ajouter le nom d'objet/le nom alternatif de l'objet
Le nom du sujet est un nom de domaine pour lequel le certificat est reçu. Kaspersky Security Center Linux ne peut pas se connecter au serveur du système SIEM si le nom de domaine du serveur du système SIEM ne correspond pas au nom du sujet du certificat du serveur du système SIEM. Cependant, le serveur du système SIEM peut changer son nom de domaine si le nom a changé dans le certificat. Dans ce cas, vous pouvez indiquer des noms de sujet dans le champ Ajouter le nom d'objet/le nom alternatif de l'objet de sujet. Si l'un des noms du sujet spécifiés correspond au nom du sujet du certificat du système SIEM, Kaspersky Security Center Linux valide le certificat du serveur du système SIEM.
Ajouter l'authentification du client
Pour l'authentification du client, vous pouvez insérer votre certificat ou le générer dans Kaspersky Security Center Linux.
Insérer le certificat. Vous pouvez utiliser un certificat que vous avez reçu de n'importe quelle source, par exemple, de n'importe quelle autorité de certification de confiance. Vous devez spécifier le certificat et sa clé privée en utilisant l'un des types de certificats suivants :
Certificat X.509 PEM. Téléchargez un fichier avec un certificat dans le champ Fichier avec certificat et un fichier avec une clé privée dans le champ Fichier avec clé. Les deux fichiers ne dépendent pas l'un de l'autre, et l'ordre de chargement des fichiers est sans importance. Lorsque les deux fichiers sont téléchargés, indiquez le mot de passe pour le décodage de la clé privée dans le champ Vérification du mot de passe ou du certificat. Le mot de passe peut présenter une valeur vide si la clé privée n'est pas encodée.
Certificat X.509 PKCS12. Téléchargez un seul fichier qui contient un certificat et sa clé privée dans le champ Fichier avec certificat. Lors du téléchargement du fichier, indiquez le mot de passe pour le décodage de la clé privée dans le champ Vérification du mot de passe ou du certificat. Le mot de passe peut présenter une valeur vide si la clé privée n'est pas encodée.
Générer une clé. Vous pouvez générer un certificat auto-signé dans Kaspersky Security Center Linux. Par conséquent, Kaspersky Security Center Linux stocke le certificat auto-signé généré, et vous pouvez transmettre la partie publique du certificat ou l'empreinte SHA1 au système SIEM.
Si vous le souhaitez, vous pouvez exporter des événements archivés à partir de la base de données du Serveur d'administration et définir la date de début à partir de laquelle vous souhaitez lancer l'exportation des événements archivés :
Cliquez sur le lien Définir la date de début de l'exportation.
Dans la section qui s'ouvre, indiquez la date de début dans le champ Date de début de l'exportation.
Cliquez sur le bouton OK.
Basculez l'option en position Exporter automatiquement les événements dans la base du système SIEM Activé.
Pour vérifier que la connexion au système SIEM a été correctement configurée, cliquez sur le bouton Analyser la connexion.
L'état de la connexion s'affiche.
Cliquez sur le bouton Enregistrer.
L'exportation vers le système SIEM est configurée. Désormais, si vous avez configuré la réception des événements dans un système SIEM, le Serveur d'administration exporte les événements marqués vers un système SIEM. Si vous définissez la date de début de l'exportation, le Serveur d'administration exporte également les événements marqués stockés dans la base de données du Serveur d'administration à compter de la date indiquée.