Configuración de Kaspersky Security Center Linux para la exportación de eventos a un sistema SIEM

Expandir todo | Contraer todo

Para exportar eventos al sistema SIEM, debe configurar el proceso de exportación en Kaspersky Security Center Linux.

Para configurar la exportación de eventos a un sistema SIEM en Kaspersky Security Center Web Console:

1. En el menú principal, haga clic en el ícono de configuración () ubicado junto al nombre del Servidor de administración pertinente.

   Se abre la ventana Propiedades del Servidor de administración.

2. En la pestaña General, seleccione la sección SIEM.
3. Haga clic en el enlace Configuración.

   Se abre la sección Exportar configuración.

4. Ajuste la configuración en la sección Exportar configuración:
   • Dirección del servidor del sistema SIEM

     La dirección IP del servidor en el que está instalado el sistema SIEM. Encontrará este valor en la configuración del sistema SIEM.

   • Puerto del sistema SIEM

     El número de puerto usado para establecer una conexión entre Kaspersky Security Center Linux y su servidor del sistema SIEM. Especifica este valor en la configuración de Kaspersky Security Center Linux y en la configuración del receptor de su sistema SIEM.

   • Protocolo

     Seleccione el protocolo que se utilizará para transferir mensajes al sistema SIEM. Puede seleccionar los protocolos TCP/IP, UDP o TLS over TCP.

     Si selecciona el protocolo TLS sobre TCP, configure los siguientes ajustes:

     • Autenticación del servidor

       En el campo Autenticación del servidor, puede seleccionar los valores Certificados de confianza o Huellas digitales SHA:

       • Certificados de confianza. Puede recibir un archivo con la lista de certificados de una autoridad de certificados (CA) de confianza y cargar el archivo en Kaspersky Security Center Linux. Kaspersky Security Center Linux verifica si el certificado del servidor del sistema SIEM también está firmado por una CA de confianza o no.

         Para añadir un certificado de confianza, haga clic en el botón Busque archivo de certificados de CA y, a continuación, cargue el certificado.

       • Huellas digitales SHA. Puede especificar huellas digitales SHA-1 de certificados del sistema SIEM en Kaspersky Security Center Linux. Para agregar una huella digital SHA-1, cópiela en el campo Huellas digitales y haga clic en el botón Añadir.

       Al usar el ajuste Añadir autenticación del cliente, puede generar un certificado para autenticar Kaspersky Security Center Linux. Por lo tanto, utilizará un certificado autofirmado emitido por Kaspersky Security Center Linux. En ese caso, podrá usar tanto un certificado de confianza como una huella digital SHA para autenticar al servidor del sistema SIEM.

     • Añadir Nombre del sujeto/Nombre alternativo del sujeto

       Se denomina "nombre del sujeto" al nombre de dominio para el que se ha obtenido un certificado. Kaspersky Security Center Linux no puede conectarse al servidor del sistema SIEM si el nombre de dominio del servidor del sistema SIEM no coincide con el nombre del sujeto del certificado del servidor del sistema SIEM. El servidor del sistema SIEM puede cambiar de nombre de dominio si se modifica también el nombre del sujeto en el certificado. Si se presenta esta situación, utilice el campo Añadir Nombre del sujeto/Nombre alternativo del sujeto para especificar los nombres de sujeto pertinentes. Si alguno de los nombres de sujeto especificados coincide con el nombre de sujeto del certificado del sistema SIEM, Kaspersky Security Center Linux validará el certificado del servidor del sistema SIEM.

     • Añadir autenticación del cliente

       Para la autenticación del cliente, puede insertar su certificado o generarlo en Kaspersky Security Center Linux.

       • Ingresar certificado. Puede utilizar un certificado obtenido de cualquier fuente (por ejemplo, de una entidad de certificación de confianza). Deberá especificar el certificado y su clave privada. Puede usar, para ello, alguno de los siguientes tipos de certificado:
         • PEM certificado X.509. Cargue un archivo con un certificado en el campo Archivo con certificado y un archivo con una clave privada en el campo Archivo con clave. Los archivos no dependen el uno del otro y no importa el orden en que se los carga. Tras cargar los archivos, ingrese la contraseña para decodificar la clave privada en el campo Verificación de certificado o contraseña. Si la clave privada no está codificada, puede dejar la contraseña en blanco.
         • PKCS12 certificado X.509. Use el campo Archivo con certificado para cargar un único archivo que contenga tanto el certificado como su clave privada. Tras cargar el archivo, ingrese la contraseña para decodificar la clave privada en el campo Verificación de certificado o contraseña. Si la clave privada no está codificada, puede dejar la contraseña en blanco.
       • Generar clave. Puede generar un certificado autofirmado en Kaspersky Security Center Linux. Como resultado, Kaspersky Security Center Linux almacena el certificado autofirmado generado y puede pasar la parte pública del certificado o huella digital SHA1 al sistema SIEM.
5. Si lo desea, puede exportar eventos archivados desde la base de datos del Servidor de administración y establecer la fecha de inicio a partir de la cual desea iniciar la exportación de eventos archivados:
   1. Haga clic en el enlace Establezca la fecha de inicio de la exportación.
   2. En la sección que se abre, especifique la fecha de inicio en el campo Fecha para iniciar la exportación.
   3. Haga clic en el botón Aceptar.
6. Cambie la opción a la posición Exportación automática de eventos a la base de datos del sistema SIEM activada.
7. Haga clic en el botón Guardar.

La exportación al sistema SIEM queda configurada. Desde este momento, si configuró la recepción de eventos en un sistema SIEM, el Servidor de administración exportará los eventos marcados a un sistema SIEM. Si establece la fecha de inicio de la exportación, el Servidor de administración también exportará los eventos que haya marcado y que estén almacenados en la base de datos del Servidor de administración desde la fecha especificada.