Numer portu używanego do nawiązania połączenia pomiędzy Kaspersky Security Center a serwerem Twojego systemu SIEM. Tę wartość należy określić w ustawieniach Kaspersky Security Center i w ustawieniach odbiornika Twojego systemu SIEM.
Wybierz protokół, który będzie używany do przesyłania wiadomości do systemu SIEM. Możesz wybrać protokół TCP/IP, UDP lub TLS przez protokół TCP.
Określ następujące ustawienia TLS, jeśli wybierzesz TLS poprzez protokół TCP:
Uwierzytelnianie serwera
W polu Uwierzytelnianie serwera możesz wybrać wartości Zaufane certyfikaty lub Odciski palców SHA:
Zaufane certyfikaty. Możesz otrzymać kompletny łańcuch certyfikatów (włącznie z certyfikatem głównym) od zaufanych urzędów certyfikacji (CA) i przesłać plik do Kaspersky Security Center. Kaspersky Security Center sprawdza, czy łańcuch certyfikatów serwera systemu SIEM jest również podpisany przez zaufany urząd certyfikacji, czy nie.
Aby dodać zaufany certyfikat, kliknij przycisk Przeglądaj w poszukiwaniu pliku certyfikatów urzędu certyfikacji, a następnie prześlij certyfikat.
Odciski palców SHA. Możesz określić odciski palców SHA1 kompletnego łańcucha certyfikatów systemu SIEM (w tym certyfikatu głównego) w Kaspersky Security Center. Aby dodać odcisk palca SHA1, wprowadź go w polu Odciski kciuka palców, a następnie kliknij przycisk Dodaj.
Korzystając z ustawienia Dodaj uwierzytelnianie klienta, możesz wygenerować certyfikat do uwierzytelnienia Kaspersky Security Center. W ten sposób będziesz używać certyfikatu z podpisem własnym wystawionego przez Kaspersky Security Center. W takim przypadku do uwierzytelnienia serwera systemu SIEM można użyć zarówno zaufanego certyfikatu, jak i odcisku palca SHA.
Dodaj nazwę podmiotu / nazwę alternatywną podmiotu
Nazwa podmiotu to nazwa domeny, dla której otrzymano certyfikat. Kaspersky Security Center nie może połączyć się z serwerem systemu SIEM, jeśli nazwa domeny serwera systemu SIEM nie jest zgodna z nazwą podmiotu certyfikatu serwera systemu SIEM. Jednak serwer systemu SIEM może zmienić swoją nazwę domeny, jeśli zmieniła się nazwa w certyfikacie. W takim przypadku można określić nazwy podmiotów w polu Dodaj nazwę podmiotu / nazwę alternatywną podmiotu. Jeśli dowolna z podanych nazw podmiotów odpowiada nazwie podmiotu certyfikatu systemu SIEM, Kaspersky Security Center zweryfikuje certyfikat serwera systemu SIEM.
Dodaj uwierzytelnianie klienta
W celu uwierzytelnienia klienta możesz wstawić swój certyfikat lub wygenerować go w Kaspersky Security Center.
Wstaw certyfikat. Możesz użyć certyfikatu otrzymanego z dowolnego źródła, na przykład, z dowolnego zaufanego urzędu certyfikacji. Musisz określić certyfikat i jego klucz prywatny, używając jednego z następujących typów certyfikatów:
Certyfikat X.509 PEM. Prześlij plik z certyfikatem w polu Plik z certyfikatem oraz plik z kluczem prywatnym w polu Plik z kluczem. Oba pliki nie są od siebie zależne, a kolejność wczytywania plików nie ma znaczenia. Po przesłaniu obu plików określ hasło do dekodowania klucza prywatnego w polu Weryfikacja hasła lub certyfikatu. Hasło może mieć pustą wartość, jeśli klucz prywatny nie jest zakodowany.
Certyfikat X.509 PKCS12. Prześlij pojedynczy plik zawierający certyfikat i jego klucz prywatny w polu Plik z certyfikatem. Po przesłaniu pliku określ hasło do dekodowania klucza prywatnego w polu Weryfikacja hasła lub certyfikatu. Hasło może mieć pustą wartość, jeśli klucz prywatny nie jest zakodowany.
Generuj klucz. Możesz wygenerować certyfikat z podpisem własnym w Kaspersky Security Center. W rezultacie Kaspersky Security Center przechowuje wygenerowany certyfikat z podpisem własnym i możesz przekazać publiczną część certyfikatu lub odcisk palca SHA1 do systemu SIEM.
Określ maksymalny rozmiar (w bajtach) jednej wiadomości przekazywanej do systemu SIEM. Każde zdarzenie jest przesyłane w jednej wiadomości. Jeśli rzeczywisty rozmiar wiadomości przekracza określoną wartość, wiadomość jest skracana i dane mogą zostać utracone. Domyślny rozmiar to 2048 bajtów. To pole jest dostępne tylko wtedy, gdy w polu Protokół wybrałeś format System log.
Jeśli chcesz, możesz wyeksportować zarchiwizowane zdarzenia z bazy danych Serwera administracyjnego i ustawić datę początkową, od której chcesz rozpocząć eksport zarchiwizowanych zdarzeń:
Kliknij łącze Wybierz datę rozpoczęcia eksportu.
W sekcji, która zostanie otwarta, w polu Data rozpoczęcia eksportu zdarzeń systemowych podaj datę rozpoczęcia.
Kliknij przycisk OK.
Przełącz opcję na pozycję Automatycznie eksportuj zdarzenia do bazy danych systemu SIEM Włączone.
Aby sprawdzić, czy połączenie z systemem SIEM zostało pomyślnie skonfigurowane, kliknij przycisk Sprawdź połączenie.
Zostanie wyświetlony stan połączenia.
Kliknij przycisk Zapisz.
Eksportowanie do systemu SIEM zostało skonfigurowane.
) obok nazwy żądanego Serwera administracyjnego.