Configuration de Kaspersky Security Center pour l'exportation des événements vers le système SIEM

Tout développer | Tout réduire

Cet article décrit comment configurer l'exportation des événements vers les systèmes SIEM.

Pour configurer l'exportation vers les systèmes SIEM dans Kaspersky Security Center Web Console :

1. Dans le menu principal, accédez à la section Paramètres de la console → Intégration.
2. Sous l'onglet Intégration, sélectionnez la section SIEM.
3. Cliquez sur le lien Paramètres.

   La section Exporter les paramètres s'ouvre.

4. Configurez les paramètres dans la section Exporter les paramètres :
   • Adresse du serveur du système SIEM

     Adresse du serveur hébergeant le système SIEM à utiliser. Cette valeur doit être définie dans les paramètres du système SIEM.

   • Port du système SIEM

     Le numéro de port pour une connexion entre Kaspersky Security Center et le serveur du système SIEM. Il faut définir cette valeur dans les paramètres de Kaspersky Security Center et les paramètres du récepteur du système SIEM.

   • Protocole

     Choisissez le protocole de transfert des messages dans le système SIEM. Vous avez le choix entre les protocoles TCP/IP, UDP ou TLS par TCP.

     Précisez les paramètres TLS suivants si vous sélectionnez le protocole TLS par TCP :

     • Authentification du Serveur

       Dans le champ Authentification du Serveur, vous pouvez sélectionner les valeurs des Certificats de confiance ou des Empreintes SHA :

       • Certificats de confiance. Vous pouvez recevoir un fichier avec la liste des certificats des autorités de certification de confiance et charger le fichier dans Kaspersky Security Center. Kaspersky Security Center vérifie si le certificat du serveur du système SIEM est également signé par une autorité de certification de confiance ou non.

         Pour ajouter un certificat de confiance, cliquez sur le bouton Rechercher le fichier des certificats CA, puis téléchargez le certificat.

       • Empreintes SHA. Vous pouvez spécifier les empreintes SHA-1 des certificats du système SIEM dans Kaspersky Security Center. Pour ajouter une empreinte numérique SHA-1, saisissez-la dans le champ Empreintes, puis cliquez sur le bouton Ajouter.

       Le paramètre Ajouter l'authentification du client permet de générer un certificat pour authentifier Kaspersky Security Center. Ainsi, vous utiliserez un certificat auto-signé délivré par Kaspersky Security Center. Dans ce cas, vous pouvez utiliser à la fois un certificat de confiance et une empreinte digitale SHA pour authentifier le serveur système SIEM.

     • Ajouter le nom d'objet/le nom alternatif de l'objet

       Le nom du sujet est un nom de domaine pour lequel le certificat est reçu. Kaspersky Security Center ne peut pas se connecter au serveur du système SIEM si le nom de domaine du serveur du système SIEM ne correspond pas au nom du sujet du certificat du serveur du système SIEM. Cependant, le serveur du système SIEM peut changer son nom de domaine si le nom a changé dans le certificat. Dans ce cas, vous pouvez indiquer des noms de sujet dans le champ Ajouter le nom d'objet/le nom alternatif de l'objet de sujet. Si l'un des noms du sujet spécifiés correspond au nom du sujet du certificat du système SIEM, Kaspersky Security Center valide le certificat du serveur du système SIEM.

     • Ajouter l'authentification du client

       Pour l'authentification du client, vous pouvez insérer votre certificat ou le générer dans Kaspersky Security Center.

       • Insérer le certificat. Vous pouvez utiliser un certificat que vous avez reçu de n'importe quelle source, par exemple, de n'importe quelle autorité de certification de confiance. Vous devez spécifier le certificat et sa clé privée en utilisant l'un des types de certificats suivants :
         • Certificat X.509 PEM. Téléchargez un fichier avec un certificat dans le champ Fichier avec certificat et un fichier avec une clé privée dans le champ Fichier avec clé. Les deux fichiers ne dépendent pas l'un de l'autre, et l'ordre de chargement des fichiers est sans importance. Lorsque les deux fichiers sont téléchargés, indiquez le mot de passe pour le décodage de la clé privée dans le champ Vérification du mot de passe ou du certificat. Le mot de passe peut présenter une valeur vide si la clé privée n'est pas encodée.
         • Certificat X.509 PKCS12. Téléchargez un seul fichier qui contient un certificat et sa clé privée dans le champ Fichier avec certificat. Lors du téléchargement du fichier, indiquez le mot de passe pour le décodage de la clé privée dans le champ Vérification du mot de passe ou du certificat. Le mot de passe peut présenter une valeur vide si la clé privée n'est pas encodée.
       • Générer une clé. Vous pouvez générer un certificat auto-signé dans Kaspersky Security Center. Par conséquent, Kaspersky Security Center stocke le certificat auto-signé généré, et vous pouvez transmettre la partie publique du certificat ou l'empreinte SHA1 au système SIEM.
   • Format de données

     Vous pouvez sélectionner les formats Syslog, CEF ou LEEF, selon les exigences du système SIEM.

   Si vous sélectionnez le format Syslog, vous devez spécifier :

   • Taille maximale du message de l'événement en octets

     Indiquez la taille maximale en octets d'un message transmis au système SIEM. Chaque événement entraîne l'envoi d'un message. Si la longueur réelle du message dépasse la valeur indiquée, le message est tronqué et vous risquez de perdre des données. Par défaut, la taille du message est de 2048 octets. Ce champ est accessible uniquement si vous avez choisi le format Syslog dans le champ Protocole.

5. Basculez l'option en position Exporter automatiquement les événements dans la base du système SIEM Activée.
6. Cliquez sur le bouton Enregistrer.

L'exportation vers le système SIEM est configurée.