Anpassen der Einstellungen der SIEM-Integration
Um die Belastung für leistungsschwache Geräte zu reduzieren und die Gefahr eines Abfalls der Systemleistung infolge eines zu großen Umfangs der Programmprotokolle zu verringern, können Sie die Veröffentlichung der Audit-Ereignisse und der Ereignisse der Aufgabenausführung über das Protokoll syslog auf dem syslog-Server einrichten.
Ein syslog-Server ist ein externer Server für Ereignis-Management (SIEM), der eingehende Ereignisse speichert und analysiert sowie andere Protokollverwaltungsaktionen ausführt.
Sie können die SIEM-Integration in zwei Modi verwenden:
- Ereignisse auf dem syslog-Server duplizieren: In diesem Modus werden alle Ereignisse der Aufgabenausführung, deren Veröffentlichung in den Protokolleinstellungen konfiguriert wurde, sowie alle Ereignisse des Systemaudits nach dem Versand an SIEM auch weiterhin auf dem geschützten Gerät gespeichert.
Wir empfehlen, dass Sie diesen Modus verwenden, um die Last für das geschützte Gerät so gering wie möglich zu halten.
- Lokale Kopien der Ereignisse löschen: In diesem Modus werden alle Ereignisse, die während der Programmausführung registriert und in SIEM veröffentlicht wurden, vom geschützten Gerät gelöscht.
Das Programm löscht niemals lokale Versionen des Sicherheitsprotokolls.
Kaspersky Security für Windows Server kann die Ereignisse in den Programmprotokollen in die vom syslog-Server unterstützten Formate konvertieren, damit sie von SIEM-Server empfangen und erfolgreich identifiziert werden können. Das Programm unterstützt die Konvertierung von Ereignissen in ein Format für strukturierte Daten und in das JSON-Format.
Um das Risiko zu minimieren, dass Ereignisse ohne Erfolg an den SIEM-Server weitergeleitet werden, können Sie Einstellungen für den Verbindungsaufbau zu einem zusätzlichen Syslog-Server festlegen.
Der syslog-Spiegelserver ist ein zusätzlicher syslog-Server, zu dessen Verwendung das Programm automatisch übergeht, wenn keine Verbindung zum primären syslog-Server besteht oder wenn dieser nicht verwendet werden kann.
Standardmäßig wird die SIEM-Integration nicht verwendet. Sie können die SIEM-Integration aktivieren und deaktivieren und die entsprechenden Einstellungen konfigurieren (s. Tabelle unten).
Einstellungen für die SIEM-Integration
Einstellung | Standardwert | Beschreibung |
|---|---|---|
Ereignisse über das syslog-Protokoll an externen syslog-Server senden | Wird nicht verwendet | Sie können die SIEM-Integration mithilfe dieses Kontrollkästchens aktivieren und deaktivieren. |
Lokale Kopien von Ereignissen löschen, die an externe syslog-Server gesendet wurden | Wird nicht verwendet | Sie können die Speicherung lokaler Kopien der Protokolle nach ihrem Versand an den SIEM-Server mithilfe dieses Kontrollkästchens konfigurieren. |
Format der Ereignisse | Strukturierte Daten | Sie können eines von zwei Formaten wählen, in die das Programm die Ereignisse vor ihrem Versand an den syslog-Server konvertiert, damit sie vom SIEM-Server erfolgreich identifiziert werden können. |
Verbindungsprotokoll | TCP | Sie können mithilfe der Dropdown-Liste die Verbindung mit dem primären syslog-Server über die Protokolle UPD oder TCP und mit dem zusätzlichen syslog-Server über das TCP-Protokoll anpassen. |
Einstellungen der Verbindung mit dem primären syslog-Server | IP-Adresse: 127.0.0.1 Port: 514 | Sie können in den entsprechenden Feldern die Werte für IP-Adresse und Port angeben, um die Verbindung mit dem primären syslog-Server anzupassen. Der Wert der IP-Adresse darf nur im Format IPv4 angegeben werden. |
Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist | Wird nicht verwendet | Sie können mithilfe dieses Kontrollkästchens die Verwendung eines syslog-Spiegelservers aktivieren und deaktivieren. |
Einstellungen der Verbindung mit dem zusätzlichen syslog-Server | IP-Adresse: 127.0.0.1 Port: 514 | Sie können in den entsprechenden Feldern die Werte für IP-Adresse und Port angeben, um die Verbindung mit dem gespiegelten syslog-Server anzupassen. Der Wert der IP-Adresse darf nur im Format IPv4 angegeben werden. |
Um die Einstellungen der SIEM-Integration zu konfigurieren, gehen Sie wie folgt vor:
- Erweitern Sie den Knoten Verwaltete Geräte in der Struktur der Verwaltungskonsole von Kaspersky Security Center.
- Wählen Sie die Administrationsgruppe aus, für die Sie Programmeinstellungen konfigurieren möchten.
- Im Ergebnisfenster der ausgewählten Administrationsgruppe führen Sie eine der folgenden Aktionen aus:
- Um die Aufgabeneinstellungen für eine Gruppe von geschützten Geräten anzupassen, wählen Sie die Registerkarte Richtlinien und öffnen Sie das Fenster Einstellungen: <Name der Richtlinie>.
- Um die Programmeinstellungen für ein einzelnes geschütztes Gerät anzupassen, wählen Sie die Registerkarte Geräte und öffnen Sie das Fenster Programmeinstellungen.
Wenn auf ein Gerät eine aktive Richtlinie von Kaspersky Security Center angewendet wird und diese Änderungen an Programmeinstellungen blockiert, dann können diese Einstellungen im Fenster Programmeinstellungen nicht bearbeitet werden.
- Klicken Sie im Abschnitt Protokolle und Benachrichtigungen im Unterabschnitt Protokolle der Aufgabenausführung auf die Schaltfläche Einstellungen.
Das Fenster Einstellungen für Protokolle und Benachrichtigungen wird geöffnet.
- Wählen Sie die Registerkarte SIEM-Integration aus.
- Aktivieren Sie im Abschnitt Integrationseinstellungen das Kontrollkästchen Ereignisse über das syslog-Protokoll an externen syslog-Server senden.
- Aktivieren Sie bei Bedarf im Abschnitt Integrationseinstellungen das Kontrollkästchen Lokale Kopien von Ereignissen löschen, die an externe syslog-Server gesendet wurden.
Der Status des Kontrollkästchens Lokale Kopien von Ereignissen löschen, die an externe syslog-Server gesendet wurden beeinflusst nicht die Einstellungen zum Speichern der Ereignisse des Sicherheitsprotokolls: Das Programm löscht niemals automatisch die Ereignisse des Sicherheitsprotokolls.
- Geben Sie im Abschnitt Format der Ereignisse das Format an, in das Sie die Ereignisse bei der Programmausführung für den Versand an den SIEM-Server konvertieren möchten.
Standardmäßig konvertiert das Programm die Ereignisse in ein Format für strukturierte Daten.
- Gehen Sie im Abschnitt Verbindungseinstellungen wie folgt vor:
- Geben Sie das Protokoll für die Verbindung zu SIEM an.
- Geben Sie die Einstellungen der Verbindung mit dem primären syslog-Server an.
Die IP-Adresse kann nur im Format IPv4 angegeben werden.
- Aktivieren Sie das Kontrollkästchen Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist, wenn Sie möchten, dass das Programm andere Verbindungseinstellungen verwendet, wenn der Versand der Ereignisse an den primären syslog-Server nicht verfügbar ist.
Geben Sie die folgenden Einstellungen für die Verbindung mit dem zusätzlichen syslog-Server an: Adresse und Port.
Die Felder Adresse und Port des syslog-Spiegelservers können nicht bearbeitet werden, wenn das Kontrollkästchen Zusätzlichen syslog-Server verwenden, wenn der primäre syslog-Server nicht verfügbar ist deaktiviert ist.
Die IP-Adresse kann nur im Format IPv4 angegeben werden.
- Klicken Sie auf OK.
Die angepassten Einstellungen der SIEM-Integration werden übernommen.