Configuration des paramètres d'intégration à SIEM

Pour diminuer la charge sur les appareils de faible puissance et réduire le risque de dégradation du système suite à l'augmentation des tailles des journaux de l'application, vous pouvez configurer la publication des événements de l'audit et des événements des tâches exécutées via le protocole syslog sur le serveur syslog.

Un serveur syslog est un serveur externe qui sert à la collecte des événements (SIEM). Il stocke et analyse les événements reçu et exécute d'autres actions de gestion de journaux.

Vous pouvez utiliser deux modes d'intégration à SIEM :

• Doubler les événements sur le serveur syslog : dans ce mode, tous les événements d'exécution des tâches dont la publication est configurée dans les paramètres des journaux, ainsi que tous les événements de l'audit système, continuent d'être conservés sur l'appareil protégé même après avoir été envoyés au serveur SIEM.

  Nous conseillons l'utilisation de ce mode pour réduire autant que possible la charge sur l'appareil protégé.

• Supprimer les copies locales des événements : dans ce mode, tous les événements enregistrés au cours du fonctionnement de l'application et publiés dans le serveur SIEM soient supprimés de l'appareil protégé.

  L'application ne supprime jamais les versions locales des Journaux de sécurité.

Kaspersky Security for Windows Server peut convertir les événements dans les journaux de l'application aux formats pris en charge par le serveur syslog afin que ces événements puissent être transmis et reconnus par le serveur SIEM. L'application prend en charge la conversion au format de données structurées et au format JSON.

Pour réduire le risque d'un échec de la transmission des événements au serveur SIEM, vous pouvez définir les paramètres pour la connexion à un serveur syslog miroir.

Le serveur syslog de miroir est un serveur syslog complémentaire vers lequel l'application passe automatiquement si la connexion au serveur principal syslog ou son utilisation sont impossibles.

L'intégration à SIEM n'est pas appliquée par défaut. Vous pouvez activer et désactiver l'intégration à SIEM, ainsi que configurer les paramètres pertinents (cf. tableau ci-dessous).

Paramètres d'intégration à SIEM

Paramètre	Valeur par défaut	Description
Envoyer les événements à un serveur syslog externe via le protocole syslog	Pas appliqué	Vous pouvez activer et désactiver l'intégration à SIEM en cochant ou décochant la case.
Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe	Pas appliqué	Vous pouvez configurer les paramètres de conservation des copies locales des journaux, après leur envoi au serveur SIEM en cochant ou décochant la case.
Format des événements	Données structurées	Vous pouvez choisir un de deux formats sous lesquels l'application convertit les événements avant de les envoyer au serveur syslog pour mieux les reconnaître au niveau du serveur SIEM.
Protocole de connexion	TCP	Vous pouvez utiliser la liste déroulante pour configurer la connexion au serveur syslog principal via les protocoles UDP ou TCP et au serveur syslog miroir via le protocole TCP.
Paramètres de connexion au serveur syslog principal	Adresse IP : 127.0.0.1 Port : 514	Vous pouvez configurer les valeurs de l'adresse IP et du port de connexion au serveur syslog principal à l'aide des champs correspondants. Vous pouvez indiquer la valeur de l'adresse IP uniquement au format IPv4.
Utiliser le serveur syslog complémentaire si le serveur syslog principal n'est pas disponible	Pas appliqué	Vous pouvez activer et désactiver l'application du serveur syslog de miroir à l'aide de la case.
Paramètres de connexion au serveur syslog complémentaire	Adresse IP : 127.0.0.1 Port : 514	Vous pouvez configurer les valeurs de l'adresse IP et du port de connexion au serveur syslog complémentaire à l'aide des champs correspondants. Vous pouvez indiquer la valeur de l'adresse IP uniquement au format IPv4.

Pour configurer les paramètres d'intégration à SIEM, procédez comme suit :

1. Développez le nœud Appareils administrés dans la console d'administration de Kaspersky Security Center.
2. Sélectionnez le groupe d'administration pour lequel vous souhaitez configurer les paramètres de l'application.
3. Dans le panneau de détails du groupe d'administration sélectionné, exécutez une des actions suivantes :
   • Pour configurer les paramètres de l'application pour un groupe d'appareils protégés, sélectionnez l'onglet Stratégies et ouvrez la fenêtre Propriétés : <Nom de la stratégie>
   • Pour configurer l'application pour un seul périphérique protégé, sélectionnez l'onglet Périphériques, puis ouvrez la fenêtre Paramètres de l'application.

     En cas d'application d'une stratégie active de Kaspersky Security Center à un appareil qui interdit la modification des paramètres de l'application, il est impossible d'éditer ces paramètres dans la fenêtre Paramètres de l'application.

4. Dans la section Journaux et notifications, cliquez sur le bouton Configuration dans la sous-section Journaux d'exécution de la tâche.

   La fenêtre Paramètres des journaux et notifications s'ouvre.

5. Sélectionnez l'onglet Intégration à SIEM.
6. Dans la section Paramètres d'intégration, cochez la case Envoyer les événements à un serveur syslog externe via le protocole syslog.
   

   La case active ou désactive l'utilisation de la fonction d'envoi des événements publiés au serveur syslog externe.

   Si la case est cochée, l'application exécute l'envoi des événements publiés sur le serveur SIEM conformément à la configuration des paramètres d'intégration à SIEM.

   Si la case est décochée, l'application n'exécute pas l'intégration à SIEM. Vous ne pouvez pas configurer les paramètres d'intégration à SIEM si la case est décochée.

   Cette case est décochée par défaut.

7. Si besoin, dans la section Paramètres d'intégration, cochez la case Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe.
   

   La case active ou désactive la suppression des copies locales des journaux au moment de leur envoi au serveur SIEM.

   Si la case est cochée, l'application supprime les copies locales des événements une fois publiées dans le serveur SIEM. Il est recommandé d'utiliser ce mode sur les appareils de faible puissance.

   Si la case est décochée, l'application envoie uniquement les événements au serveur SIEM. Les copies des journaux continuent d'être conservées localement.

   Cette case est décochée par défaut.

   L'état de la case Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe n'influence pas les paramètres de conservation des événements des Journaux de sécurité : l'application ne supprime jamais automatiquement les événement des Journaux de sécurité.

8. Dans la section Format des événements, indiquez le format sous lequel vous voulez convertir les événements au moment du fonctionnement de l'application en vue de leur envoi au serveur SIEM.

   Par défaut, l'application exécute la conversion dans un format de données structurées.

9. Dans la section Paramètres de connexion, procédez comme suit :
   • Indiquez le protocole de connexion à SIEM.
   • Indiquez les paramètres de connexion au serveur syslog principal.

     Vous pouvez uniquement indiquer l'adresse IP au format IPv4.

   • Cochez la case Utiliser le serveur syslog complémentaire si le serveur syslog principal n'est pas disponible, si vous voulez que l'application utilise d'autres paramètres de connexion, quand l'envoi des événements sur le serveur syslog principal n'est pas possible.

     Définissez les paramètres suivants de connexion au serveur syslog de miroir : Adresse et Port.

     Les champs Adresse et Port pour le serveur syslog de miroir ne peuvent pas être modifiés si la case Utiliser le serveur syslog complémentaire si le serveur syslog principal n'est pas disponible est décochée.

     Vous pouvez uniquement indiquer l'adresse IP au format IPv4.

10. Cliquez sur le bouton OK.

Les paramètres d'intégration à SIEM configurés seront appliqués.

Haut de page