Configuration des paramètres d'intégration à SIEM

Pour diminuer la charge sur les appareils de faible puissance et réduire le risque de dégradation du système suite à l'augmentation des tailles des journaux de l'application, vous pouvez configurer la publication des événements de l'audit et des événements des tâches exécutées via le protocole syslog sur le serveur syslog.

Un serveur syslog est un serveur externe qui sert à la collecte des événements (SIEM). Il stocke et analyse les événements reçu et exécute d'autres actions de gestion de journaux.

Vous pouvez utiliser deux modes d'intégration à SIEM :

Kaspersky Security for Windows Server peut convertir les événements dans les journaux de l'application aux formats pris en charge par le serveur syslog afin que ces événements puissent être transmis et reconnus par le serveur SIEM. L'application prend en charge la conversion au format de données structurées et au format JSON.

Pour réduire le risque d'un échec de la transmission des événements au serveur SIEM, vous pouvez définir les paramètres pour la connexion à un serveur syslog miroir.

Le serveur syslog de miroir est un serveur syslog complémentaire vers lequel l'application passe automatiquement si la connexion au serveur principal syslog ou son utilisation sont impossibles.

L'intégration à SIEM n'est pas appliquée par défaut. Vous pouvez activer et désactiver l'intégration à SIEM, ainsi que configurer les paramètres pertinents (cf. tableau ci-dessous).

Paramètres d'intégration à SIEM

Paramètre

Valeur par défaut

Description

Envoyer les événements à un serveur syslog externe via le protocole syslog

Pas appliqué

Vous pouvez activer et désactiver l'intégration à SIEM en cochant ou décochant la case.

Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe

Pas appliqué

Vous pouvez configurer les paramètres de conservation des copies locales des journaux, après leur envoi au serveur SIEM en cochant ou décochant la case.

Format des événements

Données structurées

Vous pouvez choisir un de deux formats sous lesquels l'application convertit les événements avant de les envoyer au serveur syslog pour mieux les reconnaître au niveau du serveur SIEM.

Protocole de connexion

TCP

Vous pouvez utiliser la liste déroulante pour configurer la connexion au serveur syslog principal via les protocoles UDP ou TCP et au serveur syslog miroir via le protocole TCP.

Paramètres de connexion au serveur syslog principal

Adresse IP : 127.0.0.1

Port : 514

Vous pouvez configurer les valeurs de l'adresse IP et du port de connexion au serveur syslog principal à l'aide des champs correspondants.

Vous pouvez indiquer la valeur de l'adresse IP uniquement au format IPv4.

Utiliser le serveur syslog complémentaire si le serveur syslog principal n'est pas disponible

Pas appliqué

Vous pouvez activer et désactiver l'application du serveur syslog de miroir à l'aide de la case.

Paramètres de connexion au serveur syslog complémentaire

Adresse IP : 127.0.0.1

Port : 514

Vous pouvez configurer les valeurs de l'adresse IP et du port de connexion au serveur syslog complémentaire à l'aide des champs correspondants.

Vous pouvez indiquer la valeur de l'adresse IP uniquement au format IPv4.

Pour configurer les paramètres d'intégration à SIEM, procédez comme suit :

  1. Développez le nœud Appareils administrés dans la console d'administration de Kaspersky Security Center.
  2. Sélectionnez le groupe d'administration pour lequel vous souhaitez configurer les paramètres de l'application.
  3. Dans le panneau de détails du groupe d'administration sélectionné, exécutez une des actions suivantes :
    • Pour configurer les paramètres de l'application pour un groupe d'appareils protégés, sélectionnez l'onglet Stratégies et ouvrez la fenêtre Propriétés : <Nom de la stratégie>
    • Pour configurer l'application pour un seul périphérique protégé, sélectionnez l'onglet Périphériques, puis ouvrez la fenêtre Paramètres de l'application.

      En cas d'application d'une stratégie active de Kaspersky Security Center à un appareil qui interdit la modification des paramètres de l'application, il est impossible d'éditer ces paramètres dans la fenêtre Paramètres de l'application.

  4. Dans la section Journaux et notifications, cliquez sur le bouton Configuration dans la sous-section Journaux d'exécution de la tâche.

    La fenêtre Paramètres des journaux et notifications s'ouvre.

  5. Sélectionnez l'onglet Intégration à SIEM.
  6. Dans la section Paramètres d'intégration, cochez la case Envoyer les événements à un serveur syslog externe via le protocole syslog.
  7. Si besoin, dans la section Paramètres d'intégration, cochez la case Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe.

    L'état de la case Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe n'influence pas les paramètres de conservation des événements des Journaux de sécurité : l'application ne supprime jamais automatiquement les événement des Journaux de sécurité.

  8. Dans la section Format des événements, indiquez le format sous lequel vous voulez convertir les événements au moment du fonctionnement de l'application en vue de leur envoi au serveur SIEM.

    Par défaut, l'application exécute la conversion dans un format de données structurées.

  9. Dans la section Paramètres de connexion, procédez comme suit :
    • Indiquez le protocole de connexion à SIEM.
    • Indiquez les paramètres de connexion au serveur syslog principal.

      Vous pouvez uniquement indiquer l'adresse IP au format IPv4.

    • Cochez la case Utiliser le serveur syslog complémentaire si le serveur syslog principal n'est pas disponible, si vous voulez que l'application utilise d'autres paramètres de connexion, quand l'envoi des événements sur le serveur syslog principal n'est pas possible.

      Définissez les paramètres suivants de connexion au serveur syslog de miroir : Adresse et Port.

      Les champs Adresse et Port pour le serveur syslog de miroir ne peuvent pas être modifiés si la case Utiliser le serveur syslog complémentaire si le serveur syslog principal n'est pas disponible est décochée.

      Vous pouvez uniquement indiquer l'adresse IP au format IPv4.

  10. Cliquez sur le bouton OK.

Les paramètres d'intégration à SIEM configurés seront appliqués.

Haut de page