イベントを SIEM システムにエクスポートするための Kaspersky Security Center の設定

すべて表示 | すべて非表示

SIEM システムにイベントをエクスポートするには、Kaspersky Security Center Web コンソールでエクスポートのプロセスを設定する必要があります。

Kaspersky Security Center Web コンソールで SIEM システムへのエクスポートを設定するには：

1. メインメニューで、目的の管理サーバーの名前の横にある設定アイコン（）をクリックします。

   管理サーバーのプロパティウィンドウが開きます。

2. ［全般］タブで、［SIEM へエクスポート］セクションを選択します。
3. ［設定］をクリックします。

   ［エクスポート設定］セクションが開きます。

4. ［エクスポート設定］セクションで設定を指定します：
   • SIEM システムサーバーアドレス

     現在使用している SIEM システムがインストールされているサーバーの IP アドレスです。SIEM システム設定でこの値を確認してください。

   • SIEM システムのポート

     Kaspersky Security Center と SIEM システムサーバー間の接続を確立するために使用するポート番号。Kaspersky Security Center の設定と SIEM システムのレシーバ設定でこの値を指定します。

   • プロトコル

     メッセージを SIEM システムに送信するために使用するプロトコルを選択します。TCP/IP、UDP、TCP プロトコルのいずれかを選択できます。

     TLS over TCP プロトコルを選択した場合は、次の TLS 設定を指定します：

     • サーバー認証

       ［サーバー認証］フィールドでは、信頼する証明書または SHA フィンガープリントを選択できます：

       • 信頼できる証明書：信頼できる証明書認証局（CA）からルート証明書を含む完全な証明書チェーンを受け取り、そのファイルを Kaspersky Security Center にアップロードすることができます。Kaspersky Security Center は、SIEM システムサーバーの証明書チェーンも CA によって署名されているかどうかを確認します。

         信頼できる証明書を追加するには、［CA 証明書を参照］をクリックして、証明書をアップロードします。

       • SHA フィンガープリント：Kaspersky Security Center で、SIEM システムの完全な証明書チェーン（ルート証明書を含む）の SHA1 サムプリントを指定できます。SHA1 サムプリントを追加するには、［サムプリント］フィールドでサムプリントを入力し、［追加］をクリックします。

       ［クライアント認証を追加する］を使用して、Kaspersky Security Center を認証する証明書を生成することができます。このようにして、Kaspersky Security Center が発行した自己署名証明書を使用します。この場合、SIEM システムサーバーの認証に、信頼できる証明書と SHA フィンガープリントの両方を使用することができます。

     • サブジェクト名 / サブジェクト代替名を追加する

       サブジェクト名は、証明書を受け取るドメインの名前です。SIEM システムサーバーのドメイン名が SIEM システムサーバー証明書のサブジェクト名と一致しない場合、Kaspersky Security Center は SIEM システムサーバーに接続できません。しかし、SIEM システムサーバーは証明書内で名前が変更された場合にドメイン名を変更することがあります。この場合、サブジェクト名を［サブジェクト名 / サブジェクト代替名を追加する］で指定することができます。指定されたサブジェクト名のいずれかが SIEM システム証明書のサブジェクト名と一致する場合、Kaspersky Security Center は SIEM システムサーバー証明書を検証します。

     • クライアント認証を追加する

       クライアント認証用に、自身の証明書を挿入するか、Kaspersky Security Center で生成することができます。

       • 証明書を挿入する:CA など、任意の発行元から受け取った証明書を使用できます。次のいずれかの証明書タイプを使用して、証明書とその秘密鍵を指定する必要があります：
         • X.509 証明書 PEM：［証明書のファイル］フィールドに証明書のファイルをアップロードし、［鍵のファイル］フィールドに秘密鍵のファイルをアップロードします。両方のファイルは相互に依存せず、ファイルを読み込む順序は重要ではありません。両方のファイルがアップロードされたら、秘密鍵をデコードするためのパスワードを［パスワードまたは証明書の検証］で指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
         • X.509 証明書 PKCS12：証明書と秘密鍵を含む単一のファイルを［証明書のファイル］フィールドにアップロードします。ファイルをアップロードしたら、秘密鍵をデコードするためのパスワードを［パスワードまたは証明書の検証］で指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
       • 鍵を生成する：Kaspersky Security Center で自己署名証明書を生成できます。Kaspersky Security Center は生成された自己署名証明書を保存し、証明書の公開部分または SHA-1 フィンガープリントを SIEM システムに渡すことができます。
   • データ形式

     SIEM システムの要件に応じて、システムログ、CEF または LEEF 形式を選択できます。

   システムログデータ形式を選択した場合は、以下を指定する必要があります。

   • 最大メッセージサイズ（バイト）

     SIEM システムにリレーされた 1 つのメッセージの最大サイズ（バイト）を指定します。各イベントは 1 つのメッセージでリレーされます。メッセージの実際の長さが指定の値を上回る場合、メッセージは切り捨てられて、データが失われる可能性があります。既定のサイズは 2048 バイトです。［プロトコル］でシステムログ形式を選択した場合にだけ、このフィールドを使用できます。

5. 必要に応じて、管理サーバーデータベースからアーカイブイベントをエクスポートし、アーカイブイベントのエクスポートを開始する日付を設定できます：
   1. ［エクスポートの開始日を設定］をクリックします。
   2. 開いたセクションで、［システムイベントのエクスポートの開始日］フィールドに開始日を指定します。
   3. ［OK］をクリックします。
6. スイッチを［SIEM システムデータースへのイベントの自動エクスポートが［有効］です］に切り替えます。
7. SIEM システム接続が正常に設定されていることを確認するには、［接続の確認］をクリックします。

   接続のステータスが表示されます。

8. ［保存］をクリックします。

SIEM システムへのエクスポートが設定されました。

関連項目： シナリオ：SIEM システムへのイベントのエクスポートの設定

ページのトップに戻る