IP-Adresse des Servers, auf dem das verwendete SIEM-System installiert ist. Dieser Wert muss in den Einstellungen des SIEM-Systems genau bestimmt werden.
Port, über den eine Verbindung zwischen Kaspersky Security Center Linux und dem Server des SIEM-Systems hergestellt wird. Dieser Wert muss in den Einstellungen von Kaspersky Security Center Linux und in den Einstellungen des Empfängers im SIEM-System angegeben werden.
Wählen Sie das Übertragungsprotokoll für Nachrichten ins SIEM-System aus. Sie können das TCP-, UDP- oder TLS-over-TCP-Protokoll auswählen.
Wenn Sie das Protokoll TLS over TCP auswählen, geben Sie die folgenden TLS-Einstellungen an:
Server authentication
In dem Feld Server authentication können Sie die Vertrauenswürdige Zertifikate oder Werte der SHA-Fingerabdrücke auswählen:
Vertrauenswürdige Zertifikate. Sie können eine vollständige Zertifikatkette (einschließlich des Root-Zertifikats) von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority – CA) abrufen und diese Datei in Kaspersky Security Center Linux hochladen. Kaspersky Security Center Linux prüft, ob die Zertifikatkette des SIEM-Servers auch von einer vertrauenswürdigen CA signiert ist oder nicht.
Um ein vertrauenswürdiges Zertifikat hinzuzufügen, klicken Sie auf die Schaltfläche CA-Zertifikatsdatei auswählen und laden Sie anschließend das Zertifikat hoch.
SHA-Fingerabdrücke. Sie können SHA1-Fingerabdrücke der vollständigen Zertifikatkette des SIEM-Systems (einschließlich des Root-Zertifikats) in Kaspersky Security Center Linux angeben. Um einen SHA1-Fingerabdruck hinzuzufügen, geben Sie ihn in das Feld Thumbprints ein und klicken Sie anschließend auf die Schaltfläche Add.
Durch Verwendung der Einstellung Add client authentication können Sie ein Zertifikat generieren, um Kaspersky Security Center Linux zu authentifizieren. Infolge dessen verwenden Sie ein selbstsigniertes Zertifikat, das von Kaspersky Security Center Linux ausgestellt wurde. In diesem Fall können Sie sowohl ein vertrauenswürdiges Zertifikat als auch einen SHA-Fingerabdruck verwenden, um den SIEM-Systemserver zu authentifizieren.
Add Subject name/Subject alternative name
Der Antragstellername ist ein Domänenname, für den das Zertifikat empfangen wird. Kaspersky Security Center Linux kann keine Verbindung zu dem SIEM-System-Server herstellen, wenn der Domänenname des SIEM-System-Servers nicht mit dem Antragstellernamen des Zertifikats des SIEM-System-Servers übereinstimmt. Der SIEM-Systemserver kann jedoch seinen Domänennamen ändern, wenn sich der Name im Zertifikat geändert hat. In diesem Fall können Sie die Antragstellernamen im Feld Add Subject name/Subject alternative name angeben. Wenn einer der angegebenen Antragstellernamen mit dem Antragsteller des Zertifikats für das SIEM-Systems übereinstimmt, validiert Kaspersky Security Center Linux das Zertifikat dieses SIEM-Systems.
Add client authentication
Um die Client-Authentifizierung durchzuführen, können Sie entweder Ihr Zertifikat einfügen oder es im Kaspersky Security Center Linux generieren.
Insert certificate. Sie können ein Zertifikat verwenden, das Sie von einer beliebigen Quelle erhalten haben, beispielsweise von einer vertrauenswürdigen CA. Sie müssen das Zertifikat und seinen privaten Schlüssel angeben, indem Sie einen der folgenden Zertifikat-Typen verwenden:
X.509 certificate PEM. Laden Sie jeweils eine Datei mit Zertifikat über das Feld File with certificate und eine Datei mit privatem Schlüssel über das Feld File with key hoch. Beide Dateien sind unabhängig voneinander und die Reihenfolge für das Hochladen der Dateien ist spielt keine Rolle. Wenn beide Dateien hochgeladen sind, geben Sie das Kennwort zum Entschlüsseln des privaten Schlüssels in dem Feld Password or certificate verification an. Das Kennwort kann einen leeren Wert haben, wenn der private Schlüssel nicht verschlüsselt ist.
X.509 certificate PKCS12. Laden Sie in dem Feld File with certificate eine Datei hoch, die ein Zertifikat und dessen privaten Schlüssel enthält. Geben Sie nach dem Hochladen der Datei das Kennwort zum Entschlüsseln des privaten Schlüssels in dem Feld Password or certificate verification an. Das Kennwort kann einen leeren Wert haben, wenn der private Schlüssel nicht verschlüsselt ist.
Generate key. Sie können in Kaspersky Security Center Linux ein selbstsigniertes Zertifikat generieren. Infolge dessen speichert Kaspersky Security Center Linux das generierte selbstsignierte Zertifikat und Sie können den öffentlichen Teil des Zertifikats oder den SHA1-Fingerabdruck an das SIEM-System übergeben.
Wenn Sie möchten, können Sie archivierte Ereignisse aus der Administrationsserver-Datenbank exportieren und das Startdatum angeben, ab dem Sie den Export archivierter Ereignisse starten möchten:
Klicken Sie auf den Link Set the export start date.
Geben Sie im sich öffnenden Abschnitt das Startdatum im Feld Date to start export from an.
Klicken Sie auf die Schaltfläche OK.
Setzen Sie die Option auf die Position Automatically export events to SIEM system database Enabled.
Um zu überprüfen, ob die Verbindung mit dem SIEM-System konfiguriert wurde, klicken Sie auf die Schaltfläche Check connection.
Die Verbindung mit dem Server des SIEM-Systems wird hergestellt und es wird ein Testereignis gesendet. Der Verbindungsstatus wird angezeigt.
Der Export in ein SIEM-System ist konfiguriert. Wenn Sie das Empfangen von Ereignissen in einem SIEM-System konfiguriert haben, exportiert der Administrationsserver von nun an die markierten Ereignisse in ein SIEM-System. Wenn Sie das Startdatum des Exports angegeben haben, exportiert der Administrationsserver auch die markierten Ereignisse, die in der Administrationsserver-Datenbank ab dem angegebenen Datum gespeichert sind.