Настройка Kaspersky Security Center Linux для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Для экспорта событий в SIEM-систему необходимо настроить процесс экспорта в Kaspersky Security Center Linux.

Чтобы настроить экспорт в SIEM-системы из Kaspersky Security Center Web Console:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел SIEM.
3. Перейдите по ссылке Параметры.

   Откроется раздел Параметры экспорта.

4. Укажите параметры в разделе Параметры экспорта:
   • Адрес сервера SIEM-системы

     Адрес сервера, на котором установлена используемая SIEM-система. Это значение необходимо уточнить в настройках SIEM-системы.

   • Порт SIEM-системы

     Номер порта, по которому будет установлено соединение между Kaspersky Security Center Linux и сервером SIEM-системы. Это значение необходимо указать в настройках Kaspersky Security Center Linux и настройках приемника в SIEM-системе.

   • Протокол

     Выберите протокол передачи сообщений в SIEM-систему. Вы можете выбрать протокол TCP, UDP или TLS over TCP.

     Укажите следующие параметры TLS, если вы выбираете TLS over TCP:

     • Аутентификация Сервера

       В поле Аутентификация Сервера можно выбрать значения Доверенные сертификаты или же Отпечатки SHA:

       • Доверенные сертификаты. Вы можете получить полную цепочку сертификатов (включая корневой сертификат) от доверенного центра сертификации (CA) и загрузить его в Kaspersky Security Center Linux. Kaspersky Security Center Linux проверяет, подписана ли цепочка сертификатов SIEM-системы также доверенным центром сертификации или нет.

         Чтобы добавить доверенный сертификат, нажмите на кнопку Выбрать файл центра сертификации и загрузите сертификат.

       • Отпечатки SHA. Вы можете указать отпечатки SHA1 всей цепочки сертификатов SIEM-системы (включая корневой сертификат) в Kaspersky Security Center Linux. Чтобы добавить отпечаток SHA1, введите его в поле Отпечатки и нажмите на кнопку Добавить.

       С помощью Добавить проверку подлинности клиента вы можете сгенерировать сертификат для аутентификации Kaspersky Security Center Linux. Таким образом, вы будете использовать самоподписанный сертификат, выпущенный Kaspersky Security Center Linux. В этом случае для аутентификации сервера SIEM-системы можно использовать как доверенный сертификат, так и отпечаток SHA.

     • Добавить имя субъекта/альтернативное имя субъекта

       Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Security Center Linux не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя, если имя изменилось в сертификате. В этом случае вы можете указать имена субъектов в поле Добавить имя субъекта/альтернативное имя субъекта. Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Security Center Linux проверяет сертификат сервера SIEM-системы.

     • Добавить проверку подлинности клиента

       Для аутентификации клиента вы можете вставить свой сертификат или сгенерировать его в Kaspersky Security Center Linux.

       • Вставить сертификат. Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:
         • X.509-сертификат PEM. Загрузите файл с сертификатом в поле Файл с сертификатом и файл с закрытым ключом в поле Файл с ключом. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла будут загружены, укажите пароль для расшифровки закрытого ключа в поле Проверка пароля или сертификата. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
         • X.509-сертификат PKCS12. Загрузите один файл, содержащий сертификат и его закрытый ключ, в поле Файл с сертификатом. Когда файл будет загружен, укажите пароль для расшифровки закрытого ключа в поле Проверка пароля или сертификата. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
       • Сгенерировать ключ. Вы можете сгенерировать самоподписанный сертификат в Kaspersky Security Center Linux. В результате Kaspersky Security Center Linux сохраняет сгенерированный самоподписанный сертификат, и вы можете передать публичную часть сертификата или SHA1-отпечаток в SIEM-систему.
5. Заархивированные события можно экспортировать из базы данных Сервера администрирования и задать начальную дату, с которой вы хотите начать экспорт заархивированных событий:
   1. Перейдите по ссылке Установите дату начала экспорта.
   2. В открывшемся разделе, укажите дату начала экспорта в поле Дата начала экспорта.
   3. Нажмите на кнопку ОК.
6. Переключите параметр в положение Автоматически экспортировать события в базу SIEM-системы Включено.
7. Чтобы убедиться, что соединение с SIEM-системой успешно настроено, нажмите на кнопку Проверить подключение.

   Соединение с сервером SIEM-системы установлено, и отправлено тестовое событие. Отобразится статус подключения.

8. Нажмите на кнопку Сохранить.

Экспорт в SIEM-систему настроен. Если вы настроили получение событий в SIEM-системе, Сервер администрирования экспортирует выбранные события в SIEM-систему. Если вы установите дату начала экспорта, Сервер администрирования также экспортирует выбранные события, хранящиеся в базе данных Сервера администрирования, с указанной даты.