Support

Support für Unternehmensanwendungen

Kaspersky Embedded Systems Security 3.x

Registrierung von Ereignissen. Berichte in Kaspersky Embedded Systems Security für Windows

Einstellungen für Protokolle und Benachrichtigungen über das Verwaltungs-Plug-in anpassen

Anpassen der Einstellungen der SIEM-Integration

Kaspersky Embedded Systems Security 3.x
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Herunterladen Forum Support kontaktieren Tools zur Wiederherstellung

Anpassen der Einstellungen der SIEM-Integration

2. November 2023

ID 146650

Als PDF speichern

Um die Belastung für leistungsschwache Geräte zu reduzieren und die Gefahr eines Abfalls der Systemleistung infolge eines zu großen Umfangs der Programmprotokolle zu verringern, können Sie die Veröffentlichung der Audit-Ereignisse und der Ereignisse der Aufgabenausführung über das Protokoll syslog auf dem syslog-Server einrichten.

Ein syslog-Server ist ein externer Server für Ereignis-Management (SIEM), der eingehende Ereignisse speichert und analysiert sowie andere Protokollverwaltungsaktionen ausführt.

Sie können die SIEM-Integration in zwei Modi verwenden:

  • Ereignisse auf dem syslog-Server duplizieren: In diesem Modus werden alle Ereignisse der Aufgabenausführung, deren Veröffentlichung in den Protokolleinstellungen konfiguriert wurde, sowie alle Ereignisse des Systemaudits nach dem Versand an SIEM auch weiterhin auf dem geschützten Gerät gespeichert.

    Wir empfehlen, dass Sie diesen Modus verwenden, um die Last für das geschützte Gerät so gering wie möglich zu halten.

  • Lokale Kopien der Ereignisse löschen: In diesem Modus werden alle Ereignisse, die während der Programmausführung registriert und in SIEM veröffentlicht wurden, vom geschützten Gerät gelöscht.

    Das Programm löscht niemals lokale Versionen des Sicherheitsprotokolls.

Kaspersky Embedded Systems Security für Windows kann die Ereignisse in den Programmprotokollen in die vom syslog-Server unterstützten Formate konvertieren, damit sie von SIEM-Server empfangen und erfolgreich identifiziert werden können. Das Programm unterstützt die Konvertierung von Ereignissen in ein Format für strukturierte Daten und in das JSON-Format.

Sie können das Risiko eines misslungenen Versands von Ereignissen an den SIEM-Server verringern, indem Sie die Verbindung zu einem syslog-Spiegelserver konfigurieren.

Der syslog-Spiegelserver ist ein zusätzlicher syslog-Server, zu dessen Verwendung das Programm automatisch übergeht, wenn keine Verbindung zum primären syslog-Server besteht oder wenn dieser nicht verwendet werden kann.

Standardmäßig wird die SIEM-Integration nicht verwendet. Sie können die SIEM-Integration aktivieren und deaktivieren und die entsprechenden Einstellungen konfigurieren (s. Tabelle unten).

Einstellungen für die SIEM-Integration

Einstellung

Standardwert

Beschreibung

Ereignisse via syslog-Protokoll an einen externen syslog-Server senden

Wird nicht verwendet

Sie können die SIEM-Integration mithilfe dieses Kontrollkästchens aktivieren und deaktivieren.

Lokale Kopien von Ereignissen nach dem Senden an externen syslog-Server löschen

Wird nicht verwendet

Sie können die Speicherung lokaler Kopien der Protokolle nach ihrem Versand an den SIEM-Server mithilfe dieses Kontrollkästchens konfigurieren.

Format der Ereignisse

Strukturierte Daten

Sie können eines von zwei Formaten wählen, in die das Programm die Ereignisse vor ihrem Versand an den syslog-Server konvertiert, damit sie vom SIEM-Server erfolgreich identifiziert werden können.

Verbindungsprotokoll

TCP

Über die Dropdown-Liste können Sie die Verbindung zum Syslog-Hauptserver über die Protokolle UDP oder TCP und zum Mirror-Syslog-Server über das TCP-Protokoll konfigurieren.

Einstellungen der Verbindung mit dem primären syslog-Server

IP-Adresse: 127.0.0.1

Port: 514

Sie können in den entsprechenden Feldern die Werte für IP-Adresse und Port angeben, um die Verbindung mit dem primären syslog-Server anzupassen.

Der Wert der IP-Adresse darf nur im Format IPv4 angegeben werden.

Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist

Wird nicht verwendet

Sie können mithilfe dieses Kontrollkästchens die Verwendung eines syslog-Spiegelservers aktivieren und deaktivieren.

Einstellungen der Verbindung mit dem zusätzlichen syslog-Server

IP-Adresse: 127.0.0.1

Port: 514

Sie können in den entsprechenden Feldern die Werte für IP-Adresse und Port angeben, um die Verbindung mit dem gespiegelten syslog-Server anzupassen.

Der Wert der IP-Adresse darf nur im Format IPv4 angegeben werden.

So konfigurieren Sie die Einstellungen für die Integration mit SIEM:

  1. Erweitern Sie den Knoten Verwaltete Geräte in der Struktur der Kaspersky Security Center Verwaltungskonsole.
  2. Wählen Sie die Administrationsgruppe aus, für die Sie Programmeinstellungen konfigurieren möchten.
  3. Im Ergebnisfenster der ausgewählten Administrationsgruppe führen Sie eine der folgenden Aktionen aus:
  4. Klicken Sie im Abschnitt Protokolle und Benachrichtigungen im Unterabschnitt Einstellungen auf die Schaltfläche Protokolle der Aufgabenausführung.

    Das Fenster Einstellungen für Protokolle und Benachrichtigungen wird geöffnet.

  5. Wählen Sie die Registerkarte SIEM-Integration aus.
  6. Aktivieren Sie im Abschnitt Integrationseinstellungen das Kontrollkästchen Ereignisse via syslog-Protokoll an einen externen syslog-Server senden.
  7. Aktivieren Sie bei Bedarf im Abschnitt Integrationseinstellungen das Kontrollkästchen Lokale Kopien von Ereignissen nach dem Senden an externen syslog-Server löschen löschen.

    Der Status des Kontrollkästchens Lokale Kopien von Ereignissen nach dem Senden an externen syslog-Server löschen beeinflusst nicht die Einstellungen zum Speichern der Ereignisse des Sicherheitsprotokolls: Das Programm löscht niemals automatisch die Ereignisse des Sicherheitsprotokolls.

  8. Geben Sie im Abschnitt Format der Ereignisse das Format an, in das die Anwendungsereignisse konvertiert werden sollen, damit sie an den SIEM-Server gesendet werden können.

    Standardmäßig konvertiert das Programm die Ereignisse in ein Format für strukturierte Daten.

  9. Gehen Sie im Abschnitt Verbindungseinstellungen wie folgt vor:
    • Geben Sie das Protokoll für die Verbindung zu SIEM an.
    • Geben Sie in den gleichnamigen Feldern die IPv4-Adresse und den Port für die Verbindung mit dem Syslog-Hauptserver an.
    • Aktivieren Sie das Kontrollkästchen Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist, wenn Sie möchten, dass das Programm andere Verbindungseinstellungen verwendet, wenn der Versand der Ereignisse an den primären syslog-Server nicht verfügbar ist.
    • Geben Sie in den gleichnamigen Feldern die IPv4-Adresse und den Port für die Verbindung mit einem weiteren Syslog-Server an.
  10. Klicken Sie auf die Schaltfläche OK.

Die angepassten Einstellungen der SIEM-Integration werden übernommen.

Kaspersky Professional Services
Assessment, Bereitstellung, Wartung und Optimierungn. Kontaktieren Sie uns, um mehr zu erfahren.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.