Nach dem Speichern auf dem Verwaltungsknoten werden die Einstellungen zur Ereignisveröffentlichung an alle Knoten des Clusters verteilt. Erst nach dem Einrichten der Ereignisveröffentlichung sollten Sie den Ereignisexport im CEF-Format aktivieren.
So konfigurieren Sie die Veröffentlichungen von Anwendungsereignisse im SIEM-System:
Wählen Sie im Fenster der Weboberfläche der Anwendung den Abschnitt Einstellungen → Externe Dienste → Protokollierung auf externem Server aus.
Wenn Sie zur Protokollierung einem externen Server verwenden möchten, aktivieren Sie den Umschalter Protokollierung auf externem Server verwenden.
Wählen Sie im Block des Parameters Kategorie die Ereigniskategorien aus, die an das SIEM-System gesendet werden sollen. Mögliche Kategorien:
Auditprotokoll der Systemsicherheit (authpriv).
Ereignisprotokoll der Systemdienste (daemon).
Protokoll des Aufgabenstarts gemäß Zeitplan (cron).
Protokoll des integrierten MTA (mail).
Protokoll von Kaspersky Secure Mail Gateway (local1).
Protokoll von Kaspersky Secure Mail Gateway im CEF-Format (local2).
Die Kategorie ist standardmäßig nicht ausgewählt.
Geben Sie im Feld FQDN oder IP-Adresse die Adresse des Servers für das SIEM-System ein. Die IP-Adressen können im Format IPv4 und IPv6 eingegeben werden.
Geben Sie im Feld Port den Port für die Verbindung mit dem SIEM-System an. Zulässiger Wertebereich des Ports: 1 bis 65535.
Für die Protokolle gelten folgende Standardwerte: TCP: 601, UDP: 514, TCP over TLS: 6514.
Wählen Sie im Block des Parameters Protokoll das Protokoll aus, über welches die Daten an das SIEM-System übertragen werden. Mögliche Werte:
TCP.
UDP.
TCP over TLS.
Der gewählte Standardwert ist TCP over TLS.
Wenn Sie das Protokoll TCP over TLS ausgewählt haben, geben Sie im Block des Parameters Authentifizierung eine Authentifizierungsmethode an. Mögliche Werte:
CA- und FQDN-Zertifikat.
Im Feld FQDN oder IP-Adresse muss die Adresse eingegeben werden, die im Serverzertifikat angegeben ist.
Fingerabdruck des Serverzertifikats.
Der Standardwert ist CA- und FQDN-Zertifikat.
Wenn Sie CA- und FQDN-Zertifikat als Authentifizierungsmethode ausgewählt haben, fügen Sie ein TLS-Zertifikat für die sichere Verbindung mit dem SIEM-System hinzu. Klicken Sie dazu im Block CA-Zertifikat auf die Schaltfläche Durchsuchen, wählen Sie eine Zertifikatsdatei im PEM-Format aus und klicken Sie anschließend auf die Schaltfläche Öffnen.
Für das Zertifikat werden folgende Mindestlängen für den Schlüssel empfohlen: 4096 Bit für RSA oder 256 Bit für ECDSA.
Wenn Sie Fingerabdruck des Serverzertifikats als Authentifizierungsmethode ausgewählt haben, fügen Sie im FeldFingerabdruck des Serverzertifikats den Wert des Fingerabdrucks des externen Serverzertifikats ein.
Bei der Verwendung von KSMG unter Rocky Linux wird es empfohlen, Fingerabdrücke zu verwenden, die mittels des SHA256-Algorithmus generiert wurden. Bei der Verwendung von KSMG unter RED OS wird es empfohlen, Fingerabdrücke zu verwenden, die mittels des SHA1-Algorithmus generiert wurden.
Klicken Sie auf die Schaltfläche Speichern.
Das Veröffentlichen von Ereignissen der Anwendung im SIEM-System wird konfiguriert.
Wenn Sie ein TLS-Zertifikat importiert haben, wird nach dem Speichern der Protokollierungseinstellungen im Feld Fingerabdruck des Zertifikats der Fingerabdruck des Zertifikats wird angezeigt.
Sie können das Zertifikat mithilfe der Schaltfläche Herunterladen herunterladen.