Ausgabe von von Programmereignissen in einem SIEM-System konfigurieren

Um das Ausgeben von Programmereignissen im Technical Support Mode zu konfigurieren, müssen Sie zunächst den öffentlichen SSH-Schlüssel in der Weboberfläche des Programms hochladen.

Befolgen Sie die nachstehenden Anweisungen für jeden Cluster-Knoten, von dem Sie die Ereignisse in einem SIEM-System ausgeben möchten. Das Aktivieren des Ereignisexports im CEF-Format sollte erst nach dem Einrichten der Ereignisausgabe stattfinden.

So konfigurieren Sie die Ausgabe von Programmereignissen in ein SIEM-System:

  1. Wenn Kaspersky Web Traffic Security aus einer ISO-Datei installiert wurde, stellen Sie mittels privaten SSH-Schlüssel und unter dem root-Benutzerkonto eine Verbindung zur Verwaltungskonsole der virtuellen Maschine mit Kaspersky Web Traffic Security her. Sie gelangen in den Technical Support Mode.

    Wenn Kaspersky Web Traffic Security aus einem RPM- oder Deb-Paket installiert wurde, starten Sie die Befehls-Shell des Betriebssystems, um darin als Superuser (Systemadministrator) Befehle auszuführen.

  2. Die Ereignisse werden mithilfe des "rsyslog"-Dienstes zur Systemprotokollierung an ein externes SIEM-System gesendet. Überprüfen Sie mit dem folgenden Befehl, ob der Dienst installiert ist und ausgeführt wird:

    systemctl status rsyslog

    Der Status des Dienstes sollte running anzeigen.

    Wenn der "rsyslog'-Dienst nicht ausgeführt wird oder fehlt, installieren und aktivieren Sie diesen Dienst gemäß der Dokumentation Ihres Betriebssystems.

  3. Geben Sie die Adresse und den Port für die Verbindung zum Server mit dem SIEM-System an. Erstellen Sie dazu die Datei "/etc/rsyslog.d/kwts-cef-messages.conf" und fügen Sie ihr die folgenden Zeilen hinzu:

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@<IP-Adresse des SIEM-Systems>:<TCP-Port, auf dem das SIEM-System Syslog-Nachrichten empfängt>

    local5.* stop

    Beispiel:

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@10.16.32.64:514

    local5.* stop
  4. Starten Sie den Dienst "rsyslog" neu. Führen Sie dazu den folgenden Befehl aus:

    systemctl restart rsyslog

  5. Überprüfen Sie den Status des "rsyslog"-Dienstes mit dem folgenden Befehl:

    systemctl status rsyslog

    Der Status sollte running anzeigen.

  6. Senden Sie mit dem folgenden Befehl eine Testnachricht an das SIEM-System:

    logger -p local5.info Test message

Die Ausgabe von Programmereignissen in das SIEM-System ist konfiguriert.

Nach oben