SIEM システムへの製品イベントの公開の設定

イベントを CEF 形式で外部 SIEM システムに発行するように設定したり、イベントをサーバー上のログファイルにローカルに保存したりできます。

コントロールノードに保存されたイベント発行設定は、クラスター内のすべてのノードに伝播されます。CEF 形式でのイベントのエクスポートを有効にするのは、イベント発行の設定後にのみ行ってください。

監査イベントを発行するには、監査ログ設定で監査イベントのログ記録も有効にする必要があります。

SIEM システムへの製品イベントの公開を設定するには：

1. 本製品の Web インターフェイスで、［設定］→［外部サービス］→［リモートロギング］セクションの順に選択します。
2. 外部サーバーでログを使用する場合は、［リモートロギングを使用する］スイッチをオンにします。
3. ［機能］の下で、SIEM システムに送信するイベントのカテゴリを選択します。可能なカテゴリ：
   • セキュリティ監査ログ (authpriv)
   • システムサービスのイベントログ (daemon)
   • タスクスケジューラーログ（cron）
   • ビルトイン MTA ログ（mail）
   • Kaspersky Secure Mail Gateway のログ（local1）
   • Kaspersky Secure Mail Gatewayの CEF 形式ログ（local2）

   既定では、カテゴリは選択されていません。

4. ［FQDN または IP アドレス］フィールドに、SIEM サーバーのアドレスを入力します。IPv4 または IPv6 アドレスがサポートされています。
5. ［ポート］フィールドに、SIEM システムへの接続に使用するポートを入力します。可能な値：1 ～ 65535。

   既定値：TCP の場合は 601、UDP の場合は 514、TCP over TLS の場合は 6514。

6. ［プロトコル］の下で、SIEM システムに情報を送信するためのプロトコルを選択します。設定可能な値：
   • TCP
   • UDP
   • TCP over TLS

   既定では、TCP over TLS が選択されます。

7. ［TCP over TLS］をオンにした場合、 ［認証］の下で認証方法を選択します。設定可能な値：
   • CA 証明書と FQDN

     ［FQDN または IP アドレス］フィールドには、サーバー証明書に指定されているアドレスが含まれている必要があります。

   • サーバー証明書のフィンガープリント

   既定値は、CA 証明書と FQDN です。

8. ［CA 証明書と FQDN］認証を選択した場合、SIEM システムへの暗号化された接続用の TLS 証明書を追加します。これを行うには、［CA 証明書］の下にある［参照］をクリックし、PEM 形式の証明書ファイルを選択して、［開く］をクリックします。

   RSA キーの長さが少なくとも 4096 ビット、または ECDSA キーの長さが少なくとも 256 ビットの証明書の使用を推奨します。

9. ［サーバー証明書のフィンガープリント］認証を選択した場合は、［サーバー証明書のフィンガープリント］フィールドに外部サーバー証明書のフィンガープリント値を入力します。

   Rocky Linux 上の KSMG では、SHA256 フィンガープリントの使用を推奨します。
   RED OS 上の KSMG では、SHA1 フィンガープリントの使用を推奨します。

10. ［保存］をクリックします。

SIEM システムへの製品イベントの公開が設定されます。

TLS証明書をインポートした場合、ログ設定の保存後、［証明書のフィンガープリント］フィールドに証明書のフィンガープリントが表示されます。

証明書は［ダウンロード］をクリックするとダウンロードできます。

ページのトップに戻る