Configuration des paramètres d'intégration à SIEM
Pour diminuer la charge sur les appareils de faible puissance et réduire le risque de dégradation du système suite à l'augmentation des tailles des journaux de l'application, vous pouvez configurer la publication des événements de l'audit et des événements des tâches exécutées via le protocole syslog sur le serveur syslog.
Un serveur syslog est un serveur externe qui sert à la collecte des événements (SIEM). Il stocke et analyse les événements reçu et exécute d’autres actions de gestion de journaux.
Vous pouvez utiliser deux modes d’intégration à SIEM :
- Doubler les événements sur le serveur syslog : dans ce mode, tous les événements d’exécution des tâches dont la publication est configurée dans les paramètres des journaux, ainsi que tous les événements de l’audit système, continuent d’être conservés sur l’appareil protégé même après avoir été envoyés au serveur SIEM.
Nous conseillons l’utilisation de ce mode pour réduire autant que possible la charge sur l’appareil protégé.
- Supprimer les copies locales des événements : dans ce mode, tous les événements enregistrés au cours du fonctionnement de l’application et publiés dans le serveur SIEM soient supprimés de l’appareil protégé.
L’application ne supprime jamais les versions locales des Journaux de sécurité.
Kaspersky Embedded Systems Security for Windows peut convertir les événements dans les journaux de l’application aux formats pris en charge par le serveur syslog afin que ces événements puissent être transmis et reconnus par le serveur SIEM. L’application prend en charge la conversion au format de données structurées et au format JSON.
Vous pouvez réduire le risque d’erreur d’envoi des événements au serveur SIEM en indiquant les paramètres de connexion au serveur syslog de miroir.
Le serveur syslog de miroir est un serveur syslog complémentaire vers lequel l’application passe automatiquement si la connexion au serveur principal syslog ou son utilisation sont impossibles.
L'intégration à SIEM n'est pas appliquée par défaut. Vous pouvez activer et désactiver l’intégration à SIEM, ainsi que configurer les paramètres pertinents (cf. tableau ci-dessous).
Paramètres d’intégration à SIEM
Paramètre | Valeur par défaut | Description |
|---|---|---|
Envoyer les événements à un serveur syslog externe via le protocole syslog | Pas appliqué | Vous pouvez activer et désactiver l’intégration à SIEM en cochant ou décochant la case. |
Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe | Pas appliqué | Vous pouvez configurer les paramètres de conservation des copies locales des journaux, après leur envoi au serveur SIEM en cochant ou décochant la case. |
Format des événements | Données structurées | Vous pouvez choisir un de deux formats sous lesquels l’application convertit les événements avant de les envoyer au serveur syslog pour mieux les reconnaître au niveau du serveur SIEM. |
Protocole de connexion | TCP | Vous pouvez utiliser la liste déroulante pour configurer la connexion au serveur syslog principal via les protocoles UDP ou TCP, et au serveur syslog miroir via le protocole TCP. |
Paramètres de connexion au serveur syslog principal | Adresse IP : 127.0.0.1 Port : 514 | Vous pouvez configurer les valeurs de l’adresse IP et du port de connexion au serveur syslog principal à l’aide des champs correspondants. Vous pouvez indiquer la valeur de l'adresse IP uniquement au format IPv4. |
Utiliser le serveur syslog complémentaire si le serveur syslog principal n'est pas disponible | Pas appliqué | Vous pouvez activer et désactiver l’application du serveur syslog de miroir à l’aide de la case. |
Paramètres de connexion au serveur syslog complémentaire | Adresse IP : 127.0.0.1 Port : 514 | Vous pouvez configurer les valeurs de l’adresse IP et du port de connexion au serveur syslog complémentaire à l’aide des champs correspondants. Vous pouvez indiquer la valeur de l’adresse IP uniquement au format IPv4. |
Pour configurer les paramètres d’intégration à SIEM :
- Développez le nœud Appareils administrés dans la Console d'administration de Kaspersky Security Center.
- Sélectionnez le groupe d’administration pour lequel vous souhaitez configurer les paramètres de l’application.
- Dans le panneau de détails du groupe d’administration sélectionné, exécutez une des actions suivantes :
- Pour configurer les paramètres de l’application pour un groupe d’appareils protégés, sélectionnez l’onglet Stratégies et ouvrez la fenêtre Propriétés : <Nom de la stratégie>.
- Pour configurer l’application pour un seul appareil protégé, sélectionnez l’onglet Appareils, puis accédez aux paramètres de l’application.
- Dans la section Journaux et notifications, cliquez sur le bouton Journaux d'exécution de la tâche dans la sous-section Configuration.
La fenêtre Paramètres des journaux et des notifications s’ouvre.
- Sélectionnez l’onglet Intégration à SIEM.
- Dans le bloc Paramètres d'intégration, cochez la case Envoyer les événements à un serveur syslog externe via le protocole syslog.
- Si besoin, dans le bloc Paramètres d'intégration, cochez la case Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe.
L’état de la case Supprimer les copies locales des événements qui ont été envoyés à un serveur syslog externe n’influence pas les paramètres de conservation des événements des Journaux de sécurité : l’application ne supprime jamais automatiquement les événement des Journaux de sécurité.
- Dans le bloc Format des événements, indiquez le format sous lequel vous voulez convertir les événements au moment du fonctionnement de l’application en vue de leur envoi au serveur SIEM.
Par défaut, l’application exécute la conversion dans un format de données structurées.
- Dans le bloc Paramètres de connexion :
- Indiquez le protocole de connexion à SIEM.
- Dans les champs de même nom, indiquez l’adresse IPv4 et le port de connexion au serveur principal syslog.
- Cochez la case Utiliser le serveur syslog complémentaire si le serveur syslog principal n'est pas disponible, si vous voulez que l’application utilise d’autres paramètres de connexion, quand l’envoi des événements sur le serveur syslog principal n’est pas possible.
- Dans les champs de même nom, indiquez l’adresse IPv4 et le port pour la connexion à un serveur syslog complémentaire.
- Cliquez sur le bouton OK.
Les paramètres d’intégration à SIEM configurés seront appliqués.