Оқиғаларды SIEM жүйесіне экспорттау үшін Kaspersky Security Center Linux конфигурациялау

Барлығын жаю | Барлығын жию

Оқиғаларды SIEM жүйесіне экспорттау үшін Kaspersky Security Center Linux жүйесінде экспорттау процесін конфигурациялау керек.

Kaspersky Security Center Web Console веб-консолінен SIEM жүйелеріне экспорттауды конфигурациялау үшін:

1. Бағдарламаның негізгі терезесінде Консоль параметрлері → Біріктіру бөліміне өтіңіз.
2. Біріктіру қойыншасынан SIEM бөлімін таңдаңыз.
3. Параметрлер сілтемесінен өтіңіз.

   Параметрлерді экспорттау бөлімі ашылады.

4. Параметрлерді экспорттау бөлімінде параметрлерді көрсетіңіз:
   • SIEM жүйелік серверінің мекенжайы

     Қолданылатын SIEM жүйесі орнатылған сервердің мекенжайы. Бұл мәнді SIEM жүйесінің конфигурацияларында нақтылау керек.

   • SIEM жүйелік порты

     Kaspersky Security Center Linux және SIEM жүйесінің сервері арасында қосылым орнатылатын порт нөмірі. Бұл мәнді Kaspersky Security Center Linux конфигурацияларында және SIEM жүйесіндегі қабылдағыштың конфигурацияларында көрсету қажет.

   • Протокол

     SIEM жүйесіне хабар жіберу протоколын таңдаңыз. TCP/IP, UPD немесе TLS over TCP протоколын таңдай аласыз.

     TLS over TCP таңдасаңыз, келесі TLS параметрлерін көрсетіңіз:

     • Сервердің түпнұсқалық растамасы

       Сервердің түпнұсқалық растамасы өрісінде Сенімді сертификаттар немесе SHA сәйкестендіру белгілері мәндерін таңдауға болады:

       • Сенімді сертификаттар. Сертификаттардың толық тізбегін (түбірлік сертификатты қоса) сенімді сертификаттау орталығынан (CA) ала аласыз және оны Kaspersky Security Center Linux бағдарламасына жүктей аласыз. Kaspersky Security Center Linux бағдарламасы SIEM жүйесінің сертификаттар тізіміне сенімді сертификаттау орталығы да қол қойғанын тексереді.

         Сенімді сертификатты қосу үшін Сертификаттау орталығының файлын таңдау түймесін басып, сертификатты жүктеп алыңыз.

       • SHA сәйкестендіру белгілері. Kaspersky Security Center Linux жүйесінде SIEM жүйесінің бүкіл сертификаттар тізбегінің (соның ішінде түбірлік сертификаттың) SHA1 саусақ іздерін көрсетуге болады. SHA1 сәйкестендіру белгісін қосу үшін, оны Саусақ іздері өрісіне енгізіп, Қосу түймесін басыңыз.

       Клиенттік аутентификация қосу көмегімен Kaspersky Security Center Linux түпнұсқалық растамасы үшін сертификатты жасай аласыз. Осылайша, сіз Kaspersky Security Center Linux шығарған өздігінен қол қойылған сертификатты қолданасыз. Бұл жағдайда, SIEM жүйесінің серверінің түпнұсқалық растамасы үшін сенімді сертификатты да, SHA сәйкестендіру белгісін де пайдалануға болады.

     • Тақырып атауын/Тақырыптың баламалы атауын қосу

       Субъект атауы – сертификат алуға себеп болған домендік атау. SIEM жүйесі серверінің домендік атауы SIEM жүйесінің сервері сертификаты субъектісінің атауына сәйкес келмесе, Kaspersky Security Center Linux бағдарламасы SIEM жүйесінің серверіне қосыла алмайды. Алайда, сертификатта атау өзгерген жағдайда, SIEM жүйесінің сервері өзінің домендік атауын өзгерте алады. Бұл жағдайда, сіз Тақырып атауын/Тақырыптың баламалы атауын қосу өрісіндегі субъектілердің аттарын көрсете аласыз. Егер аталған субъектілердің кез келген атауы SIEM жүйесі сертификаты субъектісінің атауына сәйкес келсе, Kaspersky Security Center Linux бағдарламасы SIEM жүйесі серверінің сертификатын тексереді.

     • Клиенттік аутентификация қосу

       Клиенттің түпнұсқалық растамасы үшін сіз өзіңіздің сертификатыңызды енгізе аласыз немесе оны Kaspersky Security Center Linux бағдарламасында жасай аласыз.

       • Сертификатты енгізу. Сіз кез келген көзден, мысалы, кез келген сенімді сертификаттау орталығынан алынған сертификатты пайдалана аласыз. Сертификаттың келесі түрлерінің бірін пайдаланып, сертификат пен оның жеке кілтін көрсетуіңіз қажет:
         • X.509 сертификаты PEM. Сертификаты бар файлды Сертификаты бар файл өрісіне және жеке кілті бар файлды Кілті бар файл өрісіне жүктеп салыңыз. Екі файл да бір-біріне тәуелді емес және файлдарды жүктеу реті маңызды емес. Екі файл да жүктелген кезде, Құпиясөзді немесе сертификатты растау өрісінде жеке кілтті шифрсыздау үшін құпиясөзді енгізіңіз. Жеке кілт шифрланбаған болса, құпиясөздің мәні бос болуы мүмкін.
         • X.509 сертификаты PKCS12. Сертификат пен оның жеке кілтін қамтитын бір файлды Сертификаты бар файл өрісіне жүктеңіз. Файл жүктелгеннен кейін, Құпиясөзді немесе сертификатты растау өрісінде жеке кілтті шифрсыздау үшін құпиясөзді көрсетіңіз. Жеке кілт шифрланбаған болса, құпиясөздің мәні бос болуы мүмкін.
       • Кілт жасау. Сіз Kaspersky Security Center Linux бағдарламасында өздігінен қол қойылған сертификатты жасай аласыз. Нәтижесінде, Kaspersky Security Center Linux өздігінен қол қойылған сертификатты сақтайды және сіз сертификаттың жария бөлігін немесе SHA1 сәйкестендіру белгісін SIEM жүйесіне жібере аласыз.
5. Мұрағатталған оқиғаларды Басқару серверінің дерекқорынан экспорттауға және мұрағатталған оқиғаларды экспорттауды бастағыңыз келетін басталу күнін орнатуға болады:
   1. Экспорттың басталу күнін орнату сілтемесінен өтіңіз.
   2. Ашылған бөлімде Экспорттың басталу күні өрісінде басталу күнін енгізіңіз.
   3. OK түймесін басыңыз.
6. Параметрді Оқиғаларды SIEM жүйесінің дерекқорына автоматты түрде экспорттау Қосулы жайғасымына ауыстырып қосыңыз.
7. Сақтау түймесін басыңыз.

SIEM жүйесіне экспорттау теңшелді. SIEM жүйесінде оқиғаларды қабылдауды конфигурациялаған болсаңыз, Басқару сервері белгіленген оқиғаларды SIEM жүйесіне экспорттайды. Экспорттауды бастау күнін орнатсаңыз, Басқару сервері Басқару серверінің дерекқорында сақталатын белгіленген оқиғаларды көрсетілген күннен бастап экспорттайды.

Сондай-ақ, қараңыз: Оқиғаларды SIEM жүйесінде экспорттауды конфигурациялау туралы

Басына оралу