Configurar la publicación de eventos de la aplicación en un sistema SIEM

Puede configurar la publicación de eventos en formato CEF a un sistema SIEM externo, y guardar los eventos localmente en archivos de registro en el servidor.

La configuración de publicación de eventos guardada en el nodo de Control se propaga a todos los nodos del clúster. Active la exportación de eventos en formato CEF solo después de configurar la publicación de eventos.

Para publicar eventos de auditoría, también debe activar el registro de eventos de auditoría en los ajustes del Registro de auditoría.

Para configurar la publicación de los eventos de la aplicación en un sistema SIEM, realice lo siguiente:

  1. En la ventana de la interfaz web de la aplicación, seleccione la sección ConfiguraciónServicios externosRegistro remoto.
  2. Si desea utilizar el registro en un servidor externo, active el conmutador Usar registro remoto.
  3. Bajo Instalación, seleccione las categorías de eventos que se enviarán al sistema SIEM. Categorías posibles:
    • Registro de auditoría de seguridad (authpriv)
    • Registro de eventos de servicios del sistema (daemon)
    • Registro del programador de tareas (cron)
    • Registro de MTA integrado (mail)
    • Registro de Kaspersky Secure Mail Gateway (local1)
    • Registro de Kaspersky Secure Mail Gateway en formato CEF (local2)

    De forma predeterminada, no ninguna categoría está seleccionada.

  4. En el campo Dirección FQDN o IP, introduzca la dirección del servidor SIEM. Se admiten direcciones IPv4 o IPv6.
  5. En el campo Puerto, introduzca el puerto utilizado para conectarse al sistema SIEM. Valores posibles: 1 a 65535.

    Valores predeterminados: 601 para TCP, 514 para UDP, 6514 para TCP sobre TLS.

  6. Bajo Protocolo, seleccione el protocolo de envío de información al sistema SIEM. Valores posibles:
    • TCP
    • UDP
    • TCP over TLS

    Por defecto, TCP over TLS está seleccionado.

  7. Si ha seleccionado TCP over TLS, bajo Autenticación seleccione un método de autenticación. Valores posibles:
    • Certificado CA y FQDN

      El campo Dirección FQDN o IP debe contener la dirección especificada en el certificado del servidor.

    • Huella digital del certificado del servidor

    El valor predeterminado es Certificado CA y FQDN.

  8. Si seleccionó la autenticación Certificado CA y FQDN, añada un certificado TLS para la conexión cifrada al sistema SIEM. Para hacerlo, bajo Certificado CA haga clic en Explorar, seleccione el archivo de certificado en formato PEM y haga clic en Abrir.

    Recomendamos utilizar un certificado con una longitud de clave RSA de al menos 4096 bits o una longitud de clave ECDSA de al menos 256 bits.

  9. Si seleccionó la autenticación Huella digital del certificado del servidor, en el campo Huella digital del certificado del servidor, inserte el valor de la huella digital del certificado del servidor externo.

    En KSMG en Rocky Linux, recomendamos el uso de huellas digitales SHA256.
    En KSMG en RED OS, recomendamos el uso de huellas digitales SHA1.

  10. Haga clic en Guardar.

Se configurará la publicación de los eventos de la aplicación en el sistema SIEM.

Si importó un certificado TLS, después de guardar la configuración de registro, el campo Huella digital del certificado muestra la huella digital del certificado.

Puede descargar el certificado haciendo clic en Descargar.

Inicio de página