Puede activar la exportación automática de eventos en Kaspersky Security Center.
Solo se pueden exportar eventos generales desde las aplicaciones administradas mediante los formatos CEF y LEEF. Los eventos específicos de la aplicación no se pueden exportar desde las aplicaciones administradas mediante los formatos CEF y LEEF. Si necesita exportar eventos de aplicaciones administradas o un conjunto personalizado de eventos que se haya configurado utilizando las directivas de aplicaciones administradas, exporte los eventos mediante el formato Syslog.
Para activar la exportación automática de eventos:
En el árbol de consola de Kaspersky Security Center, seleccione el Servidor de administración cuyos eventos desea exportar.
En el espacio de trabajo del Servidor de administración seleccionado, seleccione la pestaña Eventos.
Haga clic en la flecha desplegable junto al enlace Configurar las notificaciones y la exportación de eventos y seleccione Configurar exportación a sistema SIEM en la lista desplegable.
Se abre la ventana de propiedades de eventos y muestra la sección Exportación de eventos.
En la sección Exportación de eventos, especifique la configuración de exportación siguiente:
Sección de exportación de evento de la ventana de propiedades de eventos
Seleccione esta casilla para permitir la exportación automática de eventos a sistemas SIEM. Seleccionar esta casilla activa todos los campos en la sección Exportando eventos.
Seleccione el sistema SIEM al cual exportar los eventos: QRadar® (formato LEEF),ArcSight (formato CEF), Splunk® (formato CEF) y formato Syslog (RFC 5424).
Indique el número del puerto para conectarse al servidor del sistema SIEM. Este número de puerto debe ser igual al que su sistema SIEM utiliza para recibir los eventos (ver la sección Configuración de un sistema SIEM).
Seleccione el protocolo para transferir mensajes al sistema SIEM. Puede seleccionar el protocolo TCP/IP, UDP o TLS sobre TCP.
Puede ajustar la configuración de TLS si selecciona TLS sobre el protocolo TCP:
SIEM y autenticación de servidor
Elija una de las siguientes formas de autenticar el servidor del sistema SIEM:
Mediante el uso de certificados de CA. Puede recibir un archivo con la lista de certificados de una autoridad de certificados (CA) de confianza y cargar el archivo en Kaspersky Security Center. Kaspersky Security Center verifica si el certificado del servidor del sistema SIEM también está firmado por una CA de confianza o no.
Para añadir un certificado de confianza, haga clic en el botón Examinar y, a continuación, cargue el certificado.
Si selecciona el Mediante el uso de certificados de CA opción, puede especificar los nombres de los sujetos en el Sujetos de los certificados de servidor (opcional) campo. El nombre del sujeto es un nombre de dominio para el que se recibe el certificado. Kaspersky Security Center no puede conectarse al servidor del sistema SIEM si el nombre de dominio del servidor del sistema SIEM no coincide con el nombre del sujeto del certificado del servidor del sistema SIEM. Sin embargo, el servidor del sistema SIEM puede cambiar su nombre de dominio si cambia el nombre en el certificado. Para ello, especifique los nombres de los sujetos en el Sujetos de los certificados de servidor (opcional) campo. Si alguno de los nombres de sujeto especificados coincide con el nombre de sujeto del certificado del sistema SIEM, Kaspersky Security Center validará el certificado del servidor del sistema SIEM.
Mediante el uso de miniaturas e impresiones SHA-1 de certificados de servidor. Puede especificar huellas digitales SHA-1 de certificados del sistema SIEM en Kaspersky Security Center. Para agregar una huella digital SHA-1, ingrésela en el campo debajo de la opción.
Autenticación de clientes
Para la autenticación del cliente, puede insertar su certificado o generarlo en Kaspersky Security Center.
Insertar certificado. Puede utilizar un certificado que haya recibido de cualquier fuente; por ejemplo, de cualquier CA de confianza. Para insertar un certificado existente, haga clic en el Buscar certificado botón. en el abierto Certificado ventana, elija uno de los siguientes tipos de certificado y, a continuación, especifique el certificado y su clave privada:
Certificado X.509. Cargue un archivo con una clave privada en el campo Clave privada (*.prk, *.pem) y un archivo con un certificado en el campo Certificado (*.cer). Para hacer esto, haga clic en el botón Examinar a la derecha del campo correspondiente y luego agregue el archivo requerido. Ninguno de estos archivos dependen el uno del otro y, por tanto, no importa el orden en el que se carguen. Después de cargar ambos archivos, especifique la contraseña para descifrar la clave privada en el campo Contraseña. La contraseña puede tener un valor vacío si la clave privada no está codificada.
Contenedor PKCS #12. Cargue un único archivo que contenga un certificado y su clave privada en el campo Archivo de certificado. Para hacer esto, haga clic en el botón Examinar a la derecha del campo y luego agregue el archivo requerido. Después de cargar el archivo, especifique la contraseña para descifrar la clave privada en el campo Contraseña. La contraseña puede tener un valor vacío si la clave privada no está codificada.
Generar clave. Puede generar un certificado autofirmado en Kaspersky Security Center. Haga clic en el Generar certificado y, a continuación, introduzca un nombre de asunto en el Asunto campo. El certificado de cliente se genera para este nombre de sujeto y la huella digital SHA-1 de este certificado se muestra en el Huella digital SHA-1 del certificado de cliente campo. Como resultado, Kaspersky Security Center almacena el certificado autofirmado generado y puede pasar la parte pública del certificado o huella digital SHA-1 al sistema SIEM.
Si selecciona el formato Syslog, debe especificar:
Especifique el tamaño máximo (en bytes) de un mensaje transmitido al sistema SIEM. Cada evento se transmite en un mensaje. Si la longitud real de un mensaje supera el valor especificado, el mensaje se trunca y los datos se pueden perder. El tamaño predeterminado es 2048 bytes. Este campo solo está disponible si seleccionó el formato de Syslog en el campo Sistema SIEM.
Si desea exportar a la base de datos del sistema SIEM los eventos que ocurrieron después de una fecha especificada en el pasado, haga clic en el botón Exportar archivo y especifique la fecha de inicio para la exportación del evento. De forma predeterminada, la exportación del evento comienza inmediatamente después de que la activa.
Haga clic en Aceptar.
La exportación automática de eventos se activa.
Después de activar la exportación automática de eventos, debe seleccionar qué eventos se exportarán al sistema SIEM.
