Настройка Open Single Management Platform для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Для экспорта событий в SIEM-систему необходимо настроить процесс экспорта в Open Single Management Platform.

Чтобы настроить экспорт в SIEM-системы из Консоли OSMP:

1. В главном окне приложения нажмите на имя Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел SIEM.
3. Перейдите по ссылке Параметры.

   Откроется раздел Параметры экспорта.

4. Укажите параметры в разделе Параметры экспорта:
   • Адрес сервера SIEM-системы

     Адрес сервера, на котором установлена используемая SIEM-система. Это значение необходимо уточнить в настройках SIEM-системы.

   • Порт SIEM-системы

     Номер порта, по которому будет установлено соединение между Kaspersky Single Management Platform и сервером SIEM-системы. Это значение необходимо указать в настройках Kaspersky Single Management Platform и настройках приемника в SIEM-системе.

   • Протокол

     Выберите протокол передачи сообщений в SIEM-систему. Вы можете выбрать протокол TCP, UDP или TLS over TCP.

     Укажите следующие параметры TLS, если вы выбираете TLS over TCP:

     • Аутентификация Сервера

       В поле Аутентификация Сервера можно выбрать значения Доверенные сертификаты или же Отпечатки SHA:

       • Доверенные сертификаты. Вы можете получить полную цепочку сертификатов (включая корневой сертификат) от доверенного центра сертификации (CA) и загрузить его в Kaspersky Single Management Platform. Kaspersky Single Management Platform проверяет, подписана ли цепочка сертификатов SIEM-системы также доверенным центром сертификации или нет.

         Чтобы добавить доверенный сертификат, нажмите на кнопку Выбрать файл центра сертификации и загрузите сертификат.

       • Отпечатки SHA. Вы можете указать отпечатки SHA1 всей цепочки сертификатов SIEM-системы (включая корневой сертификат) в Kaspersky Single Management Platform. Чтобы добавить отпечаток SHA1, введите его в поле Отпечатки и нажмите на кнопку Добавить.

       С помощью Добавить проверку подлинности клиента вы можете сгенерировать сертификат для аутентификации Kaspersky Single Management Platform. Таким образом, вы будете использовать самоподписанный сертификат, выпущенный Kaspersky Single Management Platform. В этом случае для аутентификации сервера SIEM-системы можно использовать как доверенный сертификат, так и отпечаток SHA.

     • Добавить имя субъекта/альтернативное имя субъекта

       Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Single Management Platform не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя, если имя изменилось в сертификате. В этом случае вы можете указать имена субъектов в поле Добавить имя субъекта/альтернативное имя субъекта. Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Single Management Platform проверяет сертификат сервера SIEM-системы.

     • Добавить проверку подлинности клиента

       Для аутентификации клиента вы можете вставить свой сертификат или сгенерировать его в Kaspersky Single Management Platform.

       • Вставить сертификат. Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:
         • X.509-сертификат PEM. Загрузите файл с сертификатом в поле Файл с сертификатом и файл с закрытым ключом в поле Файл с ключом. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла будут загружены, укажите пароль для расшифровки закрытого ключа в поле Проверка пароля или сертификата. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
         • X.509-сертификат PKCS12. Загрузите один файл, содержащий сертификат и его закрытый ключ, в поле Файл с сертификатом. Когда файл будет загружен, укажите пароль для расшифровки закрытого ключа в поле Проверка пароля или сертификата. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
       • Сгенерировать ключ. Вы можете сгенерировать самоподписанный сертификат в Kaspersky Single Management Platform. В результате Kaspersky Single Management Platform сохраняет сгенерированный самоподписанный сертификат, и вы можете передать публичную часть сертификата или SHA1-отпечаток в SIEM-систему.
5. Вы можете экспортировать заархивированные события из базы данных Сервера администрирования и установить дату начала, с которой вы хотите начать экспорт заархивированных событий:
   1. Перейдите по ссылке Установите дату начала экспорта.
   2. В открывшемся разделе, укажите дату начала экспорта в поле Дата начала экспорта.
   3. Нажмите на кнопку ОК.
6. Переключите параметр в положение Автоматически экспортировать события в базу SIEM-системы Включено.
7. Чтобы убедиться, что соединение с SIEM-системой настроено, нажмите на кнопку Проверить подключение.

   Соединение с сервером SIEM-системы установлено, и отправлено тестовое событие. Отобразится статус подключения.

   Проверка выполняется только для протоколов TCP и TLS over TCP.

8. Нажмите на кнопку Сохранить.

Экспорт в SIEM-систему настроен. Если вы настроили получение событий в SIEM-системе, Сервер администрирования экспортирует выбранные события в SIEM-систему. Если вы установите дату начала экспорта, Сервер администрирования также экспортирует выбранные события, хранящиеся в базе данных Сервера администрирования, с указанной даты.

См. также: О настройке экспорта событий в SIEM-системе

В начало