Configuración de Kaspersky Security Center para la exportación de eventos a un sistema SIEM

Expandir todo | Contraer todo

Este artículo describe cómo configurar la exportación de eventos a sistemas SIEM.

Para configurar la exportación a sistemas SIEM en Kaspersky Security Center 13.1 Web Console:

1. En la lista desplegable Configuración de la consola, seleccione Integración.

   Se abre la ventana Configuración de la consola.

2. Seleccione la pestaña Integración.
3. En la pestaña Integración, seleccione la sección SIEM.
4. Haga clic en el enlace Configuración.

   Se abre la sección Exportar configuración.

5. Ajuste la configuración en la sección Exportar configuración:
   • Dirección del servidor del sistema SIEM

     La dirección IP del servidor en el que está instalado el sistema SIEM actualmente en uso. Compruebe este valor en su configuración del sistema SIEM.

   • Puerto del sistema SIEM

     El número de puerto usado para establecer una conexión entre Kaspersky Security Center y su servidor del sistema SIEM. Especifica este valor en la configuración de Kaspersky Security Center y en la configuración del receptor de su sistema SIEM.

   • Protocolo

     Seleccione el protocolo para transferir mensajes al sistema SIEM. Puede seleccionar el protocolo TCP/IP, UDP o TLS sobre TCP.

     Puede ajustar la configuración de TLS si selecciona TLS sobre el protocolo TCP:

     • Autenticación del servidor

       En el campo Autenticación del servidor, puede seleccionar los valores Certificados de confianza o Huellas digitales SHA:

       • Certificados de confianza. Puede recibir un archivo con la lista de certificados de una autoridad de certificados (CA) de confianza y cargar el archivo en Kaspersky Security Center. Kaspersky Security Center verifica si el certificado del servidor del sistema SIEM también está firmado por una CA de confianza o no.

         Para agregar un certificado de confianza, haga clic en el botón Busque archivo de certificados de CA y, a continuación, cargue el certificado.

       • Huellas digitales SHA. Puede especificar huellas digitales SHA-1 de certificados del sistema SIEM en Kaspersky Security Center. Para agregar una huella digital SHA-1, introdúzcala en el campo Huella digital y, a continuación, haga clic en el botón Agregar.

       Al usar el ajuste Añadir autenticación del cliente, puede generar un certificado para autenticar Kaspersky Security Center. Por lo tanto, utilizará un certificado autofirmado emitido por Kaspersky Security Center. En este caso, puede usar un certificado de confianza y una huella digital SHA para autenticar el servidor del sistema SIEM.

     • Añadir Nombre del sujeto / Nombre alternativo del sujeto

       El nombre del sujeto es un nombre de dominio para el que se recibe el certificado. Kaspersky Security Center no puede conectarse al servidor del sistema SIEM si el nombre de dominio del servidor del sistema SIEM no coincide con el nombre del sujeto del certificado del servidor del sistema SIEM. Sin embargo, el servidor del sistema SIEM puede cambiar su nombre de dominio si el nombre ha cambiado en el certificado. En este caso, se pueden especificar los nombres de sujeto en el campo Añadir Nombre del sujeto / Nombre alternativo del sujeto. Si alguno de los nombres de sujeto especificados coincide con el nombre de sujeto del certificado del sistema SIEM, Kaspersky Security Center validará el certificado del servidor del sistema SIEM.

     • Añadir autenticación del cliente

       Para la autenticación del cliente, puede insertar su certificado o generarlo en Kaspersky Security Center.

       • Ingresar certificado. Puede utilizar un certificado que haya recibido de cualquier fuente; por ejemplo, de cualquier CA de confianza. Debe especificar el certificado y su clave privada mediante uno de los siguientes tipos de certificado:
         • PEM certificado X.509. Cargue un archivo con un certificado en el campo Archivo con certificado y un archivo con una clave privada en el campo Archivo con clave. Ninguno de estos archivos dependen el uno del otro y, por tanto, no importa el orden en el que se carguen. Cuando se carguen ambos archivos, especifique la contraseña para descodificar la clave privada en el campo Verificación de certificado o contraseña. La contraseña puede tener un valor vacío si la clave privada no está codificada.
         • PKCS12 certificado X.509. Cargue un único archivo que contenga un certificado y su clave privada en el campo Archivo con certificado. Cuando se cargue el archivo, especifique la contraseña para descodificar la clave privada en el campo Verificación de certificado o contraseña. La contraseña puede tener un valor vacío si la clave privada no está codificada.
       • Generar clave. Puede generar un certificado autofirmado en Kaspersky Security Center. Como resultado, Kaspersky Security Center almacena el certificado autofirmado generado y puede pasar la parte pública del certificado o huella digital SHA1 al sistema SIEM.
   • Formato de los datos

     Puede seleccionar los formatos Syslog, CEF o LEEF, según lo requiera el sistema SIEM.

   Si selecciona el formato Syslog, debe especificar:

   • Tamaño máximo del mensaje de evento en bytes

     Especifique el tamaño máximo (en bytes) de un mensaje transmitido al sistema SIEM. Cada evento se transmite en un mensaje. Si la longitud real de un mensaje supera el valor especificado, el mensaje se trunca y los datos se pueden perder. El tamaño predeterminado es 2048 bytes. Este campo solo está disponible si seleccionó el formato de Syslog en el campo Protocolo.

6. Cambie la opción a la posición Exportación automática de eventos a la base de datos del sistema SIEM ACTIVADA.
7. Haga clic en el botón Guardar.

La exportación al sistema SIEM queda configurada.

Consulte también: Configuración de la exportación de eventos a sistemas SIEM

Subir