Оқиғаларды SIEM жүйесіне экспорттау үшін Kaspersky Security Center конфигурациялау

Оқиғаларды SIEM жүйесіне экспорттау үшін Kaspersky Security Center Web Console веб-консолінен экспорттау процесін реттеу қажет.

Kaspersky Security Center Web Console веб-консолінен SIEM жүйелеріне экспорттауды конфигурациялау үшін:

Басты мәзірде қажетті Басқару сервері атауының жанындағы параметрлер () белгішесін басыңыз.
Басқару серверінің сипаттары терезесі ашылады.
Жалпы қойындысында SIEM жүйесіне экспорттау бөлімін таңдаңыз.
Параметрлер сілтемесінен өтіңіз.
Параметрлерді экспорттау бөлімі ашылады.
Параметрлерді экспорттау бөлімінде параметрлерді көрсетіңіз:
- SIEM жүйелік серверінің мекенжайы
  
  Қолданылатын SIEM жүйесі орнатылған сервердің мекенжайы. Бұл мәнді SIEM жүйесінің конфигурацияларында нақтылау керек.
- SIEM жүйелік порты
  
  Kaspersky Security Center және SIEM жүйесінің сервері арасында қосылым орнатылатын порт нөмірі. Бұл мәнді Kaspersky Security Center конфигурацияларында және SIEM жүйесіндегі қабылдағыштың конфигурацияларында көрсету қажет.
- Протокол
  SIEM жүйесіне хабар жіберу протоколын таңдаңыз. TCP/IP, UPD немесе TLS over TCP протоколын таңдай аласыз.
  
  TLS over TCP таңдасаңыз, келесі TLS параметрлерін көрсетіңіз:
  - Сервердің түпнұсқалық растамасы
    Сервердің түпнұсқалық растамасы өрісінде Сенімді сертификаттар немесе SHA сәйкестендіру белгілері мәндерін таңдауға болады:
    - Сенімді сертификаттар. Сертификаттардың толық тізбегін (түбірлік сертификатты қоса) сенімді сертификаттау орталығынан (CA) ала аласыз және оны Kaspersky Security Center бағдарламасына жүктей аласыз. Kaspersky Security Center бағдарламасы SIEM жүйесінің сертификаттар тізіміне сенімді сертификаттау орталығы да қол қойғанын тексереді.
      Сенімді сертификатты қосу үшін Сертификаттау орталығының файлын таңдау түймесін басып, сертификатты жүктеп алыңыз.
    - SHA сәйкестендіру белгілері. Kaspersky Security Center жүйесінде SIEM жүйесінің бүкіл сертификаттар тізбегінің (соның ішінде түбірлік сертификаттың) SHA1 саусақ іздерін көрсетуге болады. SHA1 сәйкестендіру белгісін қосу үшін, оны Саусақ іздері өрісіне енгізіп, Қосу түймесін басыңыз.
    Клиенттік аутентификация қосу көмегімен Kaspersky Security Center түпнұсқалық растамасы үшін сертификатты жасай аласыз. Осылайша, сіз Kaspersky Security Center шығарған өзіне қол қойылған сертификатты қолданасыз. Бұл жағдайда, SIEM жүйесінің серверінің түпнұсқалық растамасы үшін сенімді сертификатты да, SHA сәйкестендіру белгісін де пайдалануға болады.
  - Тақырып атауын/Тақырыптың баламалы атауын қосу
    Субъект атауы – сертификат алуға себеп болған домендік атау. SIEM жүйесі серверінің домендік атауы SIEM жүйесінің сервері сертификаты субъектісінің атына сәйкес келмесе, Kaspersky Security Center бағдарламасы SIEM жүйесінің серверіне қосыла алмайды. Алайда, сертификатта атау өзгерген жағдайда, SIEM жүйесінің сервері өзінің домендік атауын өзгерте алады. Бұл жағдайда, сіз Тақырып атауын/Тақырыптың баламалы атауын қосу өрісіндегі субъектілердің аттарын көрсете аласыз. Егер аталған субъектілердің кез келгені SIEM жүйесі сертификаты субъектісінің атына сәйкес келсе, Kaspersky Security Center бағдарламасы SIEM жүйесі серверінің сертификатын тексереді.
  - Клиенттік аутентификация қосу
    Клиенттің түпнұсқалық растамасы үшін сіз өзіңіздің сертификатыңызды енгізе аласыз немесе оны Kaspersky Security Center бағдарламасында жасай аласыз.
    - Сертификатты енгізу. Сіз кез келген көзден, мысалы, кез келген сенімді сертификаттау орталығынан алынған сертификатты пайдалана аласыз. Сертификаттың келесі түрлерінің бірін пайдаланып, сертификат пен оның жеке кілтін көрсетуіңіз қажет:
      
      X.509 сертификаты PEM. Сертификаты бар файлды Сертификаты бар файл өрісіне және жеке кілті бар файлды Кілті бар файл өрісіне жүктеп салыңыз. Екі файл да бір-біріне тәуелді емес және файлдарды жүктеу реті маңызды емес. Екі файл да жүктелген кезде, Құпиясөзді немесе сертификатты растау өрісінде жеке кілтті шифрсыздау үшін құпиясөзді енгізіңіз. Жеке кілт шифрланбаған болса, құпиясөздің мәні бос болуы мүмкін.
      
      X.509 сертификаты PKCS12. Сертификат пен оның жеке кілтін қамтитын бір файлды Сертификаты бар файл өрісіне жүктеңіз. Файл жүктелгеннен кейін, Құпиясөзді немесе сертификатты растау өрісінде жеке кілтті шифрсыздау үшін құпиясөзді көрсетіңіз. Жеке кілт шифрланбаған болса, құпиясөздің мәні бос болуы мүмкін.
    - Кілт жасау. Сіз Kaspersky Security Center бағдарламасында өзіне қол қойылған сертификатты жасай аласыз. Нәтижесінде, Kaspersky Security Center өзіне қол қойылған сертификатты сақтайды және сіз сертификаттың жария бөлігін немесе SHA1 сәйкестендіру белгісін SIEM жүйесіне жібере аласыз.
- Деректер пішімі
  
  SIEM жүйесінің талаптарына байланысты Syslog, CEF немесе LEEF пішімдерін таңдауға болады.
Syslog деректер пішімін таңдасаңыз, мыналарды көрсетуіңіз керек:
- Хабардың максималды өлшемі, байт
  
  SIEM жүйесіне жіберілетін бір хабардың байтындағы максималды өлшемді көрсетіңіз. Әр оқиға бір хабармен беріледі. Егер хабардың нақты ұзындығы көрсетілген мәннен асып кетсе, хабар кесіліп, деректер жоғалуы мүмкін. Хабардың әдепкі өлшемі 2048 байтты құрайды. Бұл өріс Протокол өрісінде Syslog пішімін таңдаған болсаңыз ғана қолжетімді.
Мұрағатталған оқиғаларды Басқару серверінің дерекқорынан экспорттауға және мұрағатталған оқиғаларды экспорттауды бастағыңыз келетін басталу күнін орнатуға болады:
1. Экспорттың басталу күнін орнату сілтемесіне өтіңіз.
2. Ашылатын бөлімдегі Жүйелік оқиғаларды экспорттаудың басталу күні өрісінде басталу күнін көрсетіңіз.
3. OK түймесін басыңыз.
Параметрді Оқиғаларды SIEM жүйесінің дерекқорына автоматты түрде экспорттау Қосулы жайғасымына ауыстырып қосыңыз.
SIEM жүйесіне қосылым сәтті конфигурацияланғанына көз жеткізу үшін Байланысты тексеру түймесін басыңыз.
Қосылым күйі көрсетіледі.
Сақтау түймесін басыңыз.

SIEM жүйесіне экспорттау теңшелді.

Сондай-ақ, қараңыз:

Сценарий: оқиғаларды SIEM жүйелеріне экспорттауды конфигурациялау

Басына оралу