設定將應用程式事件發佈到 SIEM 系統

您可以設定將 CEF 格式的事件發佈到外部 SIEM 系統，以及將事件本機儲存在伺服器上的日誌檔案中。

控制節點上儲存的事件發佈設定會傳播到叢集中的所有節點。僅在配置事件發布後才啟用 CEF 格式的事件匯出。

若要發布稽核事件，您也必須在稽核記錄設定中啟用稽核事件日誌記錄。

要設定將應用程式事件發佈到 SIEM 系統：

1. 在應用程式網頁介面視窗中，選擇 設定 → 通知 → 遠端日誌記錄 區域。
2. 如果您要在外部伺服器上使用日誌記錄，請開啟“使用遠端日誌記錄“撥動開關。
3. 在“設施“下，選擇要傳送至SIEM 系統的事件類別。可能的類別：
   • 安全稽核記錄 (authpriv)
   • 系統服務事件日誌 (daemon)
   • 工作調度程式記錄 (cron)
   • 內建 MTA 記錄 (郵件)
   • Kaspersky Secure Mail Gateway 日誌 (local1)
   • CEF 格式的 Kaspersky Secure Mail Gateway 日誌(local2)

   預設情況下，未選擇任何類別。

4. 在FQDN 或 IP 位址 欄位中，輸入 SIEM 伺服器的位址。支援 IPv4 或 IPv6 位址。
5. 在“連接埠“欄位中，輸入用於連線 SIEM 系統的連接埠。可能的值：1 到 65535。

   預設值：TCP 為 601，UDP 為 514，TCP over TLS 為 6514。

6. 在“協定“下，選擇向 SIEM 系統傳送訊息的協定。可能的值：
   • TCP
   • UDP
   • TCP over TLS

   預設情況下，TCP over TLS被選中。

7. 如果您選擇了“TCP over TLS“， 在“身分驗證“下，選擇身分驗證方法。可能的值：
   • CA 憑證和 FQDN

     “FQDN 或 IP 位址“欄位必須包含伺服器憑證中指定的位址。

   • 伺服器憑證指紋

   預設值為 CA 憑證和 FQDN。

8. 如果您選擇了“CA 憑證和 FQDN“身分驗證，為與 SIEM 系統的加密連線新增 TLS 憑證。為此，在“CA 憑證“下， 點選“瀏覽“，選擇 PEM 格式的憑證檔案，點選“開啟”。

   我們建議使用 RSA 金鑰長度至少為 4096 位元或ECDSA 金鑰長度至少為 256 位元的憑證。

9. 如果您選擇了“伺服器憑證指紋“身分驗證，在“伺服器憑證指紋“欄位中，插入外部伺服器憑證的指紋值。

   在 Rocky Linux 上的 KSMG 中，我們建議使用SHA256 指紋。
   在 RED OS 上的 KSMG 中，我們建議使用SHA1 指紋。

10. 點選儲存。

將設定向 SIEM 系統發佈應用程式事件。

如果您匯入了 TLS 憑證，則在儲存記錄記錄設定後，“憑證指紋“欄位顯示憑證指紋。

您可以點擊“下載“下載憑證。

頁面頂端