Оқиғаларды SIEM жүйесіне экспорттау үшін Kaspersky Security Center конфигурациялау

Барлығын жаю | Барлығын жию

Оқиғаларды автоматты түрде Kaspersky Security Center-ге экспорттауды қосуға болады.

Тек жалпы оқиғаларды басқарылатын бағдарламалардан CEF және LEEF пішіміндерінде экспорттауға болады. Оқиғаларды CEF және LEEF форматына түрлендіру үшін қолданылатын интерпретациялау ережелері Kaspersky Security Center тарату жинағына кіретін siem_conversion_rules.xml файлында көрсетілген.  Бағдарламаның айрықша оқиғаларын басқарылатын бағдарламалардан CEF және LEEF пішімдерінде экспорттау мүмкін емес. Басқарылатын бағдарлама оқиғаларын немесе басқарылатын бағдарлама саясаты арқылы конфигурацияланған пайдаланушы оқиғалары жиынтығын экспорттау қажет болса, Syslog пішімінде оқиғаларды экспорттауды пайдаланыңыз.

Жалпы оқиғаларды автоматты түрде экспорттауды қосу үшін:

1. Kaspersky Security Center консоль ағашында оқиғаларды экспорттау қажет Басқару сервері деп аталатын түйінді таңдаңыз.
2. Таңдалған Басқару серверінің жұмыс аймағында Оқиғалар қойыншасына өтіңіз.
3. Хабарландырулар мен оқиғаларды экспорттау параметрлерін конфигурациялау сілтемесінің жанындағы ашылмалы көрсеткіні басып, ашылмалы тізімнен SIEM жүйесіне экспорттауды теңшеу опциясын таңдаңыз.

   Оқиғаны экспорттау бөліміндегі оқиғалар сипаттары терезесі ашылады.

4. Оқиғаны экспорттау бөлімінде келесі экспорттау параметрлерін көрсетіңіз:

   

   Оқиғалар сипаттары терезесі Оқиғаларды экспорттау бөлімі

   • Оқиғаларды SIEM жүйесінің дерекқорына автоматты түрде экспорттау

     Оқиғаларды SIEM жүйесіне автоматты түрде экспорттауды қосу үшін осы жалаушаны қойыңыз. Бұл жалаушаны қойғанда, Оқиғаларды экспорттау бөліміндегі барлық өрістер өңдеуге қолжетімді болады.

   • SIEM жүйесі

     Оқиғаларды экспорттау үшін SIEM жүйесін таңдаңыз: QRadar® (LEEF пішімі), ArcSight (CEF пішімі), Splunk® (CEF пішімі) және Syslog пішімі (RFC 5424).

     Syslog форматын таңдасаңыз, сізге мынаны көрсету керек:

     Хабардың максималды өлшемі (байт)

     SIEM жүйесіне жіберілетін бір хабардың байтындағы максималды өлшемді көрсетіңіз. Әр оқиға бір хабармен беріледі. Егер хабардың нақты ұзындығы көрсетілген мәннен асып кетсе, хабар кесіліп, деректер жоғалуы мүмкін. Хабардың әдепкі өлшемі 2048 байтты құрайды. Бұл өріс, SIEM жүйесі өрісінде Syslog пішімін таңдаған болсаңыз ғана қолжетімді.

   • SIEM жүйелік серверінің мекенжайы

     SIEM жүйелік серверінің мекенжайын көрсетіңіз. Сервер мекенжайын DNS немесе NetBIOS атауы немесе IP мекенжайы ретінде көрсетуге болады.

   • SIEM жүйесінің сервер порты

     SIEM жүйесі серверіне қосылу үшін порт нөмірін көрсетіңіз. Бұл порт нөмірі оқиғаларды алу үшін SIEM жүйесі қабылдағышының параметрлерінде көрсетілген порт нөміріне сәйкес келуі керек (SIEM жүйесін конфигурациялау бөлімін қараңыз).

   • Протокол

     SIEM жүйесіне хабар жіберу протоколын таңдаңыз. TCP/IP, UPD немесе TLS over TCP протоколын таңдай аласыз.

     TLS over TCP таңдасаңыз, келесі TLS параметрлерін көрсетіңіз:

     • SIEM серверінің аутентификациясы

       SIEM жүйесі серверінің түпнұсқалық растамасының келесі тәсілдерінің бірін таңдаңыз:

       • CA сертификаттарын пайдалану арқылы. Сертификаттар тізімі бар файлды сенімді сертификаттау орталығынан (CA) ала аласыз және оны Kaspersky Security Center бағдарламасына жүктей аласыз. Kaspersky Security Center бағдарламасы SIEM жүйесінің сертификатына сенімді сертификаттау орталығы қол қойғанын не қол қоймағанын тексереді.

         Сенімді сертификатты қосу үшін Шолу түймесін басып, сертификатты жүктеп алыңыз.

         CA сертификаттарын пайдалану арқылы параметрін таңдасаңыз, Сервер сертификаттарының тақырыптары (міндетті емес) өрісінде субъектілер аттарын көрсетуге болады. Субъект атауы – сертификат алуға себеп болған домендік атау. SIEM жүйесі серверінің домендік атауы SIEM жүйесінің сервері сертификаты субъектісінің атына сәйкес келмесе, Kaspersky Security Center бағдарламасы SIEM жүйесінің серверіне қосыла алмайды. Алайда, сертификатта субъектінің атауы өзгерген жағдайда, SIEM жүйесінің сервері өзінің домендік атауын өзгерте алады. Бұл үшін, Сервер сертификаттарының тақырыптары (міндетті емес) өрісінде субъектілердің аттарын көрсетіңіз. Егер аталған субъектілердің кез келгені SIEM жүйесі сертификаты субъектісінің атына сәйкес келсе, Kaspersky Security Center бағдарламасы SIEM жүйесі серверінің сертификатын тексереді.

       • Сервер сертификаттарының SHA1 саусақ& іздерін қолдану арқылы. Kaspersky Security Center SHA-1 бағдарламасында SIEM жүйесі сертификаттарының сәйкестендіру белгілерін көрсете аласыз. SHA-1 сәйкестендіру белгісін қосу үшін оны параметрдің астындағы өріске енгізіңіз.
     • Клиенттік аутентификация

       Клиенттің түпнұсқалық растамасы үшін сіз өзіңіздің сертификатыңызды енгізе аласыз немесе оны Kaspersky Security Center бағдарламасында жасай аласыз.

       • Сертификатты салу. Сіз кез келген көзден, мысалы, кез келген сенімді сертификаттау орталығынан алынған сертификатты пайдалана аласыз. Бұрыннан бар сертификатты енгізу үшін Сертификатты шолу түймесін басыңыз. Ашылған Сертификат терезесінде келесі сертификат түрлерінің бірін таңдаңыз, содан кейін сертификат пен оның жеке кілтін көрсетіңіз:
         • X.509 сертификаты. Жабық кілт (*.prk, *.pem) өрісіне жеке кілт файлын және Сертификат (*.cer) өрісіне сертификаты бар файлды жүктеңіз. Ол үшін тиісті өрістің оң жағындағы Шолу түймесін басып, қажетті файлды қосыңыз. Екі файл да бір-біріне тәуелді емес және файлдарды жүктеу реті маңызды емес. Екі файл да жүктелген кезде, Құпиясөз өрісінде жеке кілтті шифрсыздау үшін құпиясөзді енгізіңіз. Жеке кілт шифрланбаған болса, құпиясөздің мәні бос болуы мүмкін.
         • PKCS #12 контейнері. Сертификат пен оның жеке кілтін қамтитын бір файлды Сертификат файлы өрісіне жүктеңіз. Ол үшін өрістің оң жағындағы Шолу түймесін басып, қажетті файлды қосыңыз. Файл жүктелгеннен кейін, Құпиясөз өрісінде жеке кілтті шифрсыздау үшін құпиясөзді көрсетіңіз. Жеке кілт шифрланбаған болса, құпиясөздің мәні бос болуы мүмкін.
       • Кілті жасау. Сіз Kaspersky Security Center бағдарламасында өзіне қол қойылған сертификатты жасай аласыз. Сертификат жасау түймесін басып, Тақырып өрісінде субъект атауын енгізіңіз. Пайдаланушы сертификаты осы субъект атауы үшін жасалады және осы сертификаттың SHA-1 сәйкестендіру белгісі Клиент сертификатының SHA1 саусақ ізі өрісінде көрсетіледі. Нәтижесінде, Kaspersky Security Center өзіне қол қойылған сертификатты сақтайды және сіз сертификаттың жария бөлігін немесе SHA-1 сәйкестендіру белгісін SIEM жүйесіне жібере аласыз.
5. Егер өткендегі белгілі бір күннен кейін орын алған оқиғаларды SIEM жүйесіне экспорттау қажет болса, Мұрағатты экспорттау түймесін басып, оқиғаны экспорттау басталатын күнді көрсетіңіз. Әдепкі бойынша, оқиғаларды экспорттау қосылғаннан кейін бірден басталады.
6. SIEM жүйесінің байланысы сәтті конфигурацияланғанына көз жеткізу үшін Параметрлерді сынау түймесін басыңыз.

   Қолданба SIEM жүйелік серверімен байланыс орнатуға және сынақ оқиғасын жіберуге тырысады. Байланыс күйі көрсетіледі.

7. OK түймесін басыңыз.

Оқиғаларды автоматты түрде экспорттау қосылған.

Оқиғаларды автоматты түрде экспорттауды қосқаннан кейін, SIEM жүйесіне қандай оқиғалар экспортталатынын таңдау керек.

Сондай-ақ, қараңыз: Оқиғаларды SIEM жүйелеріне экспорттауды конфигурациялау SIEM жүйелеріне Syslog пішімінде экспортталатын оқиғаларды таңдау

Басына оралу