Настройка параметров интеграции с SIEM

Чтобы уменьшить нагрузку на маломощные устройства и уменьшить риск снижения производительности системы в результате увеличения размеров журналов программы, можно настроить публикацию событий аудита и событий выполнения задач по протоколу syslog на syslog-сервер.

Syslog-сервер – это внешний сервер для сбора событий (SIEM). Он хранит и анализирует полученные события, а также выполняет другие действия по управлению журналами.

Вы можете использовать интеграцию с SIEM в двух режимах:

• Дублировать события на syslog-сервере: в этом режиме все события выполнения задач, публикация которых настроена в параметрах журналов, а также все события системного аудита продолжают храниться на защищаемом устройстве даже после отправки на SIEM-сервер.

  Рекомендуется использовать этот режим, чтобы максимально снизить нагрузку на защищаемое устройство.

• Удалять локальные копии событий: в этом режиме все события, зарегистрированные в ходе работы программы и опубликованные на SIEM-сервере, будут удалены с защищаемого устройства.

  Программа никогда не удаляет локальные версии журнала безопасности.

Kaspersky Security для Windows Server может конвертировать события в журналах программы в форматы, поддерживаемые syslog-сервером, для передачи событий и их успешного распознавания на стороне SIEM-сервера. Программа поддерживает конвертацию в формат структурированных данных и в формат JSON.

Чтобы снизить риск неудачной отправки событий на SIEM-сервер, задайте параметры подключения к зеркальному syslog-серверу.

Зеркальный syslog-сервер – это дополнительный syslog-сервер, на использование которого программа переключается автоматически, если не удается подключиться к основному syslog-серверу или использовать его.

Интеграция с SIEM не применяется по умолчанию. Вы можете включать и выключать интеграцию с SIEM, а также настраивать соответствующие параметры (см. таблицу ниже).

Параметры интеграции с SIEM

Параметр	Значение по умолчанию	Описание
Отправлять события по протоколу syslog на внешний syslog-сервер	Не применяется	Вы можете включать и отключать интеграцию с SIEM с помощью установки или снятия флажка.
Удалять локальные копии событий при записи на внешний syslog-сервер	Не применяется	Вы можете настраивать параметры хранения локальных копий журналов после их отправки на SIEM-сервер, установив или сняв флажок.
Формат событий	Структурированные данные	Вы можете выбирать один из двух форматов, в которые программа конвертирует события перед отправкой на syslog-сервер для лучшего распознавания этих событий SIEM-сервером.
Протокол подключения	TCP	С помощью выпадающего списка вы можете настроить подключение к основному syslog-серверу по протоколам UPD или TCP, к дополнительному syslog-серверу по протоколу TCP.
Параметры подключения к основному syslog-серверу	IP-адрес: 127.0.0.1 Порт: 514	Вы можете настраивать значения IP-адреса и порта для подключения к основному syslog-серверу с помощью соответствующих полей. Вы можете указать значение IP-адреса только в формате IPv4.
Использовать дополнительный syslog-сервер, если основной syslog-сервер недоступен	Не применяется	Вы можете включать и отключать применение зеркального syslog-сервера с помощью флажка.
Параметры подключения к дополнительному syslog-серверу	IP-адрес: 127.0.0.1 Порт: 514	Вы можете настраивать значения IP-адреса и порта для подключения к дополнительному syslog-серверу с помощью соответствующих полей. Вы можете указать значение IP-адреса только в формате IPv4.

Чтобы настроить параметры интеграции с SIEM, выполните следующие действия:

1. Разверните узел Управляемые устройства в дереве Консоли администрирования Kaspersky Security Center.
2. Выберите группу администрирования, для которой требуется настроить параметры программы.
3. В панели результатов выбранной группы администрирования выполните одно из следующих действий:
   • Чтобы настроить параметры программы для группы защищаемых устройств, выберите закладку Политики и откройте окно Свойства: <Имя политики>.
   • Чтобы настроить параметры программы для отдельного защищаемого устройства, выберите закладку Устройства и откройте окно Параметры программы.

     Если к устройству применяется активная политика Kaspersky Security Center, запрещающая изменение параметров программы, эти параметры недоступны для изменения в окне Параметры программы.

4. В разделе Журналы и уведомления в подразделе Журналы выполнения задач нажмите на кнопку Настройка.

   Откроется окно Параметры журналов и уведомлений.

5. Выберите закладку Интеграция с SIEM.
6. В разделе Параметры интеграции установите флажок Отправлять события по протоколу syslog на внешний syslog-сервер.
   

   Флажок включает или отключает использование функциональности отправки публикуемых событий на внешний syslog-сервер.

   Если флажок установлен, программа выполняет отправку публикуемых событий на SIEM-сервер в соответствии с настроенными параметрами интеграции с SIEM.

   Если флажок снят, программа не выполняет интеграцию с SIEM. Вы не можете настраивать параметры интеграции SIEM, если флажок снят.

   По умолчанию флажок снят.

7. Если требуется, в разделе Параметры интеграции установите флажок Удалять локальные копии событий при записи на внешний syslog-сервер.
   

   Флажок включает или выключает удаление локальных копий журналов при их отправке на SIEM-сервер.

   Если флажок установлен, программа удаляет локальные копии событий после того, как они были успешно опубликованы на SIEM-сервере. Рекомендуется использовать этот режим на маломощных устройствах.

   Если флажок снят, программа только отправляет события на SIEM-сервер. Копии журналов продолжают храниться локально.

   По умолчанию флажок снят.

   Статус флажка Удалять локальные копии событий при записи на внешний syslog-сервер не влияет на параметры хранения событий журнала безопасности: программа никогда не удаляет события журнала безопасности автоматически.

8. В разделе Формат событий укажите формат, в который вы хотите конвертировать события программы для их отправки на SIEM-сервер.

   По умолчанию программа выполняет конвертацию в формат структурированных данных.

9. В разделе Параметры подключения:
   • Укажите протокол подключения к SIEM.
   • Укажите параметры соединения с основным syslog-сервером.

     IP-адрес можно указать только в формате IPv4.

   • Установите флажок Использовать дополнительный syslog-сервер, если основной syslog-сервер недоступен, если вы хотите, чтобы программа использовала другие параметры соединения, когда отправка событий на основной syslog-сервер невозможна.

     Укажите следующие параметры подключения к дополнительному syslog-серверу: Адрес и Порт.

     Поля Адрес и Порт для дополнительного syslog-сервера недоступны для редактирования, если снят флажок Использовать дополнительный syslog-сервер, если основной syslog-сервер недоступен.

     IP-адрес можно указать только в формате IPv4.

10. Нажмите на кнопку ОК.

Настроенные параметры интеграции с SIEM будут применены.

В начало