配置卡巴斯基安全管理中心以將事件匯出到 SIEM 系統

延伸所有 | 折疊所有

若要將事件匯出到 SIEM 系統，您必須在卡巴斯基安全管理中心網頁主控台中設定匯出程序。

若要在卡巴斯基安全管理中心網頁主控台中配置匯出到 SIEM 系統：

在主功能表中，按一下所需管理伺服器名稱旁邊的設定圖示（）。
管理伺服器內容視窗將開啟。
在一般頁簽，選擇匯出至 SIEM區域。
點擊設定連結。
匯出設定區域將開啟。
在匯出設定區域中指定設定：
- SIEM 系統伺服器位址
  安裝了目前使用的 SIEM 系統的伺服器的 IP 位址。在您的 SIEM 系統設定中檢查此值。
- SIEM 系統連接埠
  用於建立卡巴斯基安全管理中心和您的 SIEM 系統伺服器之間連線的埠號。您在卡巴斯基安全管理中心設定中和您 SIEM 系統的接收設定中指定該值。
- 協定
  選取該協定用於傳輸訊息到 SIEM 系統。您可以選取 TCP/IP、UDP 或 TLS over TCP 通訊協定。
  
  如果您透過 TCP 通訊協定選取 TLS，則可以指定以下 TLS 設定：
  - 伺服器身分驗證
    在伺服器身分驗證欄位，您可以選擇受信任的憑證或者 SHA 指紋值：
    - 受信任的憑證。您可以從受信任的憑證頒發機構 (CA) 接收完整的憑證鏈（包含根憑證），並將該檔案上傳到卡巴斯基安全管理中心。卡巴斯基安全管理中心會檢查 SIEM 系統伺服器的憑證鏈是否也由受信任的 CA 簽署。
      要新增受信任的憑證，請點擊瀏覽 CA 憑證檔案按鈕，然後上傳憑證。
    - SHA 指紋。您可以在卡巴斯基安全管理中心中指定 SIEM 系統完整憑證鏈（包含根憑證）的 SHA1 指紋。要新增 SHA1 指紋，請在指紋欄位中輸入該指紋，然後點擊新增按鈕。
    透過使用新增用戶端身分驗證設定，您可以產生憑證來驗證卡巴斯基安全管理中心。因此，您將使用卡巴斯基安全管理中心發佈的自簽章憑證。在此情況下，您可以同時使用受信任的憑證和 SHA 指紋來驗證 SIEM 系統伺服器。
  - 新增主體名稱/主體別名
    主體名稱是接收憑證的網域。如果 SIEM 系統伺服器的網域與 SIEM 系統伺服器憑證的主體名稱不符，卡巴斯基安全管理中心將無法連線到 SIEM 系統伺服器。但是，如果憑證中的名稱已變更，則 SIEM 系統伺服器可以變更其網域名稱。在此情況下，您可以在新增主體名稱/主體別名欄位中指定主體名稱。如果任何指定的主體名稱與 SIEM 系統憑證的主體名稱匹配，卡巴斯基安全管理中心將驗證 SIEM 系統伺服器憑證。
  - 新增用戶端身分驗證
    對於用戶端身分驗證，您可以插入您的憑證或在卡巴斯基安全管理中心中產生它。
    - 插入憑證。您可以使用從任何來源（例如，從任何受信任的憑證頒發機構）收到的憑證。您必須使用以下憑證類型之一指定憑證及其私密金鑰：
      X.509 憑證 PEM。在包含憑證的檔案欄位中上傳帶有憑證的檔案，在包含金鑰的檔案欄位中上傳帶有私密金鑰的檔案。這兩個檔案互不相依，檔案的載入順序並不重要。當兩個檔案都上傳後，在密碼或者憑證驗證欄位中指定解碼私密金鑰的密碼。如果未編碼私密金鑰未編碼，則密碼可以為空值。
      X.509 憑證 PKCS12。上傳包含憑證及其私密金鑰的單個檔案到包含憑證的檔案欄位。當兩個檔案都上傳後，在密碼或者憑證驗證欄位中指定解碼私密金鑰的密碼。如果未編碼私密金鑰未編碼，則密碼可以為空值。
    - 生產金鑰。您可以在卡巴斯基安全管理中心中產生自簽章憑證。結果，卡巴斯基安全管理中心儲存自簽章憑證，您可以將憑證的公共部分或 SHA1 指紋傳遞給 SIEM 系統。
- 日期格式
  您可以根據 SIEM 系統的要求選擇系統日誌、CEF 或 LEEF 格式。
如果選擇系統日誌資料格式，則必須指定：
- 最大訊息大小，位元
  指定 SIEM 系統訊息的最大大小。每個事件被一條訊息轉發。如果訊息的精確長度超過指定值，訊息被截斷且資料可能遺失。預設大小是 2048 位元組。如果您在“Protocol”欄位中選取了系統日誌格式，則可使用該欄位。
如果需要，您可以從管理伺服器資料庫中匯出封存事件，並設定開始匯出封存事件的開始日期：
1. 點擊設定匯出開始日期連結。
2. 在開啟的部分中，在系統事件匯出的開始日期欄位中指定開始日期。
3. 點擊確定按鈕。
將選項切換到自動匯出事件至 SIEM 系統資料庫已啟用位置。
若要檢查 SIEM 系統連線是否設定成功，請點擊偵測連線按鈕。
連線狀態即會顯示。
點擊儲存按鈕。

匯出到 SIEM 系統已配置。

另請參閱：

情境：設定事件匯出到 SIEM 系統

頁頂