Настройка публикации событий приложения в SIEM-систему

Вы можете настроить публикацию событий в формате CEF во внешнюю SIEM-систему и сохранение событий локально в файлы журналов на сервере.

После сохранения на Управляющем узле параметры публикации событий распространяются на все узлы кластера. Только после настройки публикации событий следует включать экспорт событий в формате CEF.

Для публикации событий аудита следует также включить запись событий аудита в параметрах журнала событий аудита.

Чтобы настроить публикацию событий приложения в SIEM-систему:

  1. В окне веб-интерфейса приложения выберите раздел Параметры → Внешние службы → Журналирование на внешнем сервере.
  2. Если вы хотите использовать журналирование на внешнем сервере, включите переключатель Использовать журналирование на внешнем сервере.
  3. В блоке параметров Категория выберите категории событий для отправки в SIEM-систему. Возможные категории:
    • Журнал аудита безопасности системы (authpriv).
    • Журнал событий системных служб (daemon).
    • Журнал запуска задач по расписанию (cron).
    • Журнал встроенного MTA (mail).
    • Журнал Kaspersky Secure Mail Gateway (local1).
    • Журнал Kaspersky Secure Mail Gateway в формате CEF (local2).

    По умолчанию категория не выбрана.

  4. В поле FQDN или IP-адрес введите адрес сервера SIEM-системы. Поддерживаются IP-адреса формата IPv4 или IPv6.
  5. В поле Порт укажите порт для подключения к SIEM-системе. Допускается значение от 1 до 65535.

    Значения по умолчанию: для протокола TCP – 601, для протокола UDP – 514, для протокола TCP поверх TLS – 6514.

  6. В блоке параметров Протокол выберите протокол, по которому данные будут отправляться в SIEM-систему. Возможные значения:
    • TCP.
    • UDP.
    • TCP поверх TLS.

    По умолчанию выбрано значение TCP поверх TLS.

  7. Если вы выбрали протокол TCP поверх TLS, в блоке параметров Аутентификация выберите способ аутентификации. Возможные значения:
    • Сертификат УЦ и FQDN.

      В поле FQDN или IP-адрес должен быть введен тот адрес, который указан в сертификате сервера.

    • Отпечаток сертификата сервера.

    Значение по умолчанию Сертификат УЦ и FQDN.

  8. Если вы выбрали способ аутентификации Сертификат УЦ и FQDN, добавьте TLS-сертификат для защищенного соединения с SIEM-системой. Для этого в блоке Сертификат УЦ нажмите на кнопку Обзор, выберите файл сертификата в формате PEM и нажмите на кнопку Open.

    Рекомендуется использовать сертификат с длиной RSA-ключа не менее 4096 бит или с длиной ECDSA-ключа не менее 256 бит.

  9. Если вы выбрали способ аутентификации Отпечаток сертификата сервера, в поле Отпечаток сертификата сервера вставьте значение отпечатка сертификата внешнего сервера.

    В KSMG под управлением Rocky Linux рекомендуется использовать отпечатки, созданные с помощью алгоритма SHA256.
    В KSMG под управлением РЕД ОС рекомендуется использовать отпечатки, созданные с помощью алгоритма SHA1.

  10. Нажмите на кнопку Сохранить.

Публикация событий приложения в SIEM-систему будет настроена.

Если вы импортировали TLS-сертификат, после сохранения параметров журналирования в поле Отпечаток сертификата отобразится отпечаток сертификата.

Вы можете скачать сертификат с помощью кнопки Скачать.

В начало