Definições das configurações de integração SIEM

Para reduzir a carga nos dispositivos de baixo desempenho e reduzir o risco de degradação do sistema como resultado do aumento do tamanho de logs do aplicativo, é possível configurar a publicação de eventos de auditoria e de desempenho de tarefa no servidor syslog por meio do protocolo Syslog.

Um servidor syslog é um servidor externo para eventos de agregação (SIEM). Ele armazena e analisa os eventos recebidos e executa outras ações de gerenciamento de logs.

É possível usar a integração SIEM de duas maneiras:

Eventos duplicados no servidor syslog: nesse modo, todos os eventos de desempenho de tarefa cuja publicação esteja definida nas configurações de logs, bem como todos os eventos de auditoria do sistema, continuam a ser armazenados no dispositivo protegido mesmo após terem sido enviados ao servidor SIEM.
Recomenda-se usar este modo para reduzir o máximo possível a carga no dispositivo protegido.
Excluir cópias locais de eventos: nesse modo, todos os eventos registrados durante a operação do aplicativo e publicados no servidor SIEM serão excluídos do dispositivo protegido.
O aplicativo nunca exclui versões locais do log de segurança.

O Kaspersky Embedded Systems Security for Windows pode converter eventos em logs de aplicativo em formatos compatíveis com o servidor syslog para que esses eventos possam ser transmitidos e reconhecidos com sucesso pelo servidor SIEM. O aplicativo é compatível com a conversão para um formato de dados estruturados e para o formato JSON.

É possível reduzir o risco de retransmissão malsucedida de eventos ao servidor SIEM definindo as configurações para conectar ao servidor syslog de espelhamento.

Um servidor syslog de espelhamento adicional para o qual o aplicativo se alterna automaticamente se a conexão ao servidor principal syslog estiver indisponível ou se o servidor principal não puder ser utilizado.

Por padrão, a integração SIEM não é utilizada. É possível ativar e desativar a integração SIEM e definir configurações relevantes (consulte a tabela abaixo).

Configurações de integração SIEM

Configuração	Valor padrão	Descrição
Enviar eventos para um servidor syslog remoto pelo protocolo syslog	Não aplicado	É possível ativar ou desativar a integração SIEM marcando ou desmarcando a caixa de seleção, respectivamente.
Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto	Não aplicado	É possível definir as configurações para armazenar as cópias locais dos logs após terem sido enviados ao servidor SIEM marcando ou desmarcando a caixa de seleção.
Formato dos eventos	Dados estruturados	É possível selecionar um de dois formatos nos quais o aplicativo converte seus eventos antes de enviá-los ao servidor syslog para um melhor reconhecimento desses eventos pelo servidor SIEM.
Protocolo de conexão	TCP	É possível usar a lista suspensa para configurar a conexão com o servidor syslog principal via protocolos UDP ou TCP; e com o servidor syslog de espelhamento pelo protocolo TCP.
Configurações de conexão do servidor syslog principal	Endereço IP: 127.0.0.1 Porto: 514	Você pode usar os campos apropriados para configurar o endereço IP e a porta usados para conectar-se ao servidor syslog principal. É possível especificar o endereço IP somente no formato IPv4.
Use um servidor syslog de espelhamento se o servidor principal não estiver acessível	Não aplicado	É possível usar a caixa de seleção para ativar ou desativar o uso de um servidor syslog refletido.
Configurações de conexão do servidor syslog de espelhamento	Endereço IP: 127.0.0.1 Porto: 514	Você pode usar os campos apropriados para configurar o endereço IP e a porta usados para conectar-se ao servidor syslog de espelhamento. É possível especificar o endereço IP somente no formato IPv4.

Para definir as configurações de integração com o SIEM:

Expanda o node Dispositivos gerenciados na árvore do Console de Administração do Kaspersky Security Center.
Selecione o grupo de administração para o qual você deseja definir as configurações do aplicativo.
Execute uma das seguintes ações no painel de detalhes do grupo de administração selecionado:
- Para definir as configurações do log para um grupo de dispositivos protegidos, selecione a guia Políticas e abra a janela Propriedades: <Nome da política>.
- Para configurar o aplicativo para um único dispositivo protegido individual, selecione a guia Dispositivos e vá para as configurações do aplicativo.
Na seção Logs e notificações, clique no botão Logs de tarefas no bloco Configurações.
A janela Configurações de logs e notificações é exibida.
Selecione a guia Integração SIEM.
No bloco Configurações de integração, marque a caixa de seleção Enviar eventos para um servidor syslog remoto pelo protocolo syslog.
A caixa de seleção ativa ou desativa a funcionalidade de envio de eventos publicados a um servidor syslog externo.

Se a caixa de seleção for marcada, o aplicativo enviará eventos publicados ao servidor SIEM de acordo com as configurações de integração SIEM definidas.

Se a caixa de seleção for desmarcada, o aplicativo não executará a integração SIEM. Não é possível definir as configurações de integração SIEM se a caixa de seleção for desmarcada.

Por padrão, a caixa de seleção fica desmarcada.
Caso necessário, no bloco Configurações de integração, marque a caixa de seleção Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto.
A caixa de seleção ativa ou desativa a exclusão de cópias locais de logs quando eles são enviados para o servidor SIEM.

Se a caixa de seleção for marcada, o aplicativo exclui cópias locais de eventos depois que eles tiverem sido publicados com sucesso no servidor SIEM. Este modo é recomendado em dispositivos com desempenho limitado.

Se a caixa de seleção for desmarcada, o aplicativo apenas enviará os eventos para o servidor SIEM. As cópias de logs continuam sendo armazenadas localmente.

Por padrão, a caixa de seleção fica desmarcada.

O status da caixa de seleção Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto não afeta as configurações de armazenamento de eventos do log de segurança: o aplicativo nunca exclui automaticamente os eventos de log de segurança.
No bloco Formato dos eventos, especifique o formato para o qual deseja converter eventos do aplicativo para que sejam enviados ao servidor SIEM.
Por padrão, o aplicativo converte-os em um formato de dados estruturados.
No bloco Configurações de conexão:
- Especifique o protocolo de conexão SIEM.
- Nos campos de mesmo nome, especifique o endereço IPv4 e a porta para a conexão com o servidor syslog principal.
- Marque a caixa de seleção Use um servidor syslog de espelhamento se o servidor principal não estiver acessível se desejar que o aplicativo use outras configurações de conexão quando não for possível enviar eventos para o servidor syslog principal.
- Nos campos de mesmo nome, especifique o endereço IPv4 e a porta para a conexão com um servidor syslog adicional.
Clique no botão OK.

As configurações da integração SIEM definidas serão aplicadas.

Início da página