Vous pouvez activer l'exportation automatique des événements dans Kaspersky Security Center.
Seuls les événements généraux peuvent être exportés depuis les applications administrées aux formats CEF et LEEF. Les événements propres aux applications ne peuvent pas être exportés depuis les applications administrées aux formats CEF et LEEF. Si vous devez exporter les événements des applications administrées ou un ensemble d'événements défini par l'utilisateur et configuré à l'aide des stratégies des applications administrées, vous devez exporter les événements dans le format Syslog.
Pour activer l'exportation automatique des événements, procédez comme suit :
Dans l'arborescence de la console de Kaspersky Security Center, sélectionnez l'entrée qui porte le nom du Serveur d'administration dont il faut exporter les événements.
Dans l'espace de travail du Serveur d'administration sélectionné, sélectionnez l'onglet Événements.
Cliquez sur la flèche déroulante en regard du lien Configurer les paramètres des notifications et d'exportation des événements et sélectionnez Configurer l'exportation vers le système SIEM dans la liste déroulante.
La fenêtre des propriétés des événements s'ouvre, affichant la section Exportation d'événement.
Dans la section Exportation d'événement, définissez les paramètres d'exportation suivants :
Section Exportation des événements de la fenêtre des propriétés des événements
Cochez cette case pour activer l'exportation automatique des événements dans le système SIEM. Si vous cochez cette case, tous les champs de la section Exportation des événements peuvent être modifiés.
Sélectionnez le système SIEM pour exporter les événements suivants : QRadar® (format LEEF),ArcSight (format CEF), Splunk® (format CEF) et format Syslog (RFC 5424).
Renseignez l'adresse du serveur du système SIEM. L'adresse du serveur peut être renseignée au format DNS, sous la forme du nom NetBIOS ou en tant qu'adresse IP.
Indiquez le numéro de port pour la connexion au serveur du système SIEM. Ce numéro doit correspondre au numéro de port défini dans les paramètres du récepteur du système SIEM pour recevoir les événements (cf. section Configuration du système SIEM).
Choisissez le protocole de transfert des messages dans le système SIEM. Vous avez le choix entre les protocoles TCP/IP, UDP ou TLS par TCP.
Précisez les paramètres TLS suivants si vous sélectionnez le protocole TLS par TCP :
Authentification du serveur SIEM
Choisissez l'une des méthodes suivantes pour authentifier le serveur du système SIEM :
En utilisant les certificats CA. Vous pouvez recevoir un fichier avec la liste des certificats des autorités de certification de confiance et charger le fichier dans Kaspersky Security Center. Kaspersky Security Center vérifie si le certificat du serveur du système SIEM est également signé par une autorité de certification de confiance ou non.
Pour ajouter un certificat de confiance, cliquez sur le bouton Parcourir, puis téléchargez le certificat.
Si vous choisissez l'option En utilisant les certificats CA, vous pouvez définir les objets dans le champ Sujets des certificats du serveur (facultatif). Le nom du sujet est un nom de domaine pour lequel le certificat est reçu. Kaspersky Security Center ne peut pas se connecter au serveur du système SIEM si le nom de domaine du serveur du système SIEM ne correspond pas au nom du sujet du certificat du serveur du système SIEM. Cependant, le serveur du système SIEM peut changer son nom de domaine si vous changez le nom du sujet dans le certificat. Dans ce cas, vous pouvez spécifier des noms de sujet dans le champ Sujets des certificats du serveur (facultatif). Si l'un des noms du sujet spécifiés correspond au nom du sujet du certificat du système SIEM, Kaspersky Security Center valide le certificat du serveur du système SIEM.
En utilisant les empreintes SHA-1 des certificats du serveur. Vous pouvez spécifier les empreintes SHA-1 des certificats du système SIEM dans Kaspersky Security Center. Pour ajouter une empreinte SHA-1, saisissez-la dans le champ sous l'option.
Authentification du client
Pour l'authentification du client, vous pouvez insérer votre certificat ou le générer dans Kaspersky Security Center.
Insert certificate. Vous pouvez utiliser un certificat que vous avez reçu de n'importe quelle source, par exemple, de n'importe quelle autorité de certification de confiance. Pour insérer un certificat existant, cliquez sur le bouton Parcourir le certificat. Dans la fenêtre Certificat qui s'ouvre, choisissez l'un des types de certificats suivants, puis renseignez le certificat et sa clé privée :
Certificat X.509. Chargez un fichier avec une clé privée dans le champ Clé privée (*.prk, *.pem) et un fichier avec un certificat dans le champ Certificat (*.cer). Pour ce faire, cliquez sur le bouton Parcourir situé à droite du champ correspondant, puis ajoutez le fichier requis. Les deux fichiers ne dépendent pas l'un de l'autre, et l'ordre de chargement des fichiers est sans importance. Lorsque les deux fichiers sont téléchargés, indiquez le mot de passe pour le décodage de la clé privée dans le champ Mot de passe. Le mot de passe peut présenter une valeur vide si la clé privée n'est pas encodée.
Conteneur PKCS#12. Téléchargez un seul fichier qui contient un certificat et sa clé privée dans le champ Fichier du certificat. Pour ce faire, cliquez sur le bouton Parcourir situé à droite du champ, puis ajoutez le fichier requis. Lorsque le fichier a été téléchargé, indiquez le mot de passe pour le décodage de la clé privée dans le champ Mot de passe. Le mot de passe peut présenter une valeur vide si la clé privée n'est pas encodée.
Generate key. Vous pouvez générer un certificat auto-signé dans Kaspersky Security Center. Cliquez sur le bouton Générer un certificat, puis saisissez un nom d'objet dans le champ Objet. Le certificat client est généré pour ce nom d'objet et l'empreinte SHA-1 de ce certificat s'affiche dans le champ Empreinte SHA-1 du certificat client. Par conséquent, Kaspersky Security Center stocke le certificat auto-signé généré et vous pouvez transmettre la partie publique du certificat ou l'empreinte SHA-1 au système SIEM.
Si vous sélectionnez le format Syslog, vous devez spécifier :
Indiquez la taille maximale en octets d'un message transmis au système SIEM. Chaque événement entraîne l'envoi d'un message. Si la longueur réelle du message dépasse la valeur indiquée, le message est tronqué et vous risquez de perdre des données. Par défaut, la taille du message est de 2048 octets. Ce champ est accessible uniquement si vous avez choisi le format Syslog dans le champ Système SIEM.
Si vous souhaitez exporter vers la base de données système SIEM les événements survenus après une date définie dans le passé, cliquez sur le bouton Exporter l'archive et indiquez la date à partir de laquelle les événements seront exportés. Par défaut, l'exportation des événements débute directement après l'activation.
Cliquez sur le bouton OK.
L'exportation automatique des événements est activée.
Une fois que l'exportation automatique des événements a été activée, il faut sélectionner les événements à exporter dans le système SIEM.
