配置 SIEM 集成设置

为了减小低性能设备上的负载和降低由于应用程序日志大小增大而造成系统性能降级的风险，可以通过 Syslog 协议将审核事件和任务性能事件的发布配置到 syslog 服务器。

syslog 服务器是用于聚合事件 (SIEM) 的外部服务器。它存储和分析收到的事件，并执行其他日志管理操作。

可以在两种模式中使用 SIEM 集成：

• 在 syslog 服务器上复制事件：在此模式下，其发布在日志设置中进行配置的所有任务性能事件以及所有系统审核事件，即使在发送到 SIEM 服务器后仍继续存储在受保护设备上。

  建议使用此模式以尽可能减少受保护设备上的负载。

• 删除事件的本地副本：在此模式下，在应用程序运行过程中注册和发布到 SIEM 的所有事件将从受保护设备中删除。

  应用程序永远不会删除安全日志的本地版本。

Kaspersky Security for Windows Server 可以将应用程序日志中的事件转换为 syslog 服务器支持的格式，以便这些事件能够被传输和被 SIEM 服务器成功识别。应用程序支持转换为结构化数据格式和 JSON 格式。

为降低事件传输到 SIEM 服务器不成功的风险，您可以定义连接到镜像 syslog 服务器的设置。

镜像 syslog 服务器是一个额外的 syslog 服务器，如果与主 syslog 服务器的连接不可用或不能使用主服务器，应用程序会自动切换到该服务器。

默认情况下，不使用 SIEM 集成。您可以启用和禁用 SIEM 集成，并配置相关设置（参见下表）。

SIEM 集成设置

设置	默认值	描述
通过 syslog 协议发送事件到远程 syslog 服务器	未应用	可以分别通过选择或清除该复选框来启用或禁用 SIEM 集成。
删除已被发送到远程 syslog 服务器的事件本地副本	未应用	可以通过选中或清除复选框来配置将日志发送到 SIEM 服务器后存储日志本地副本的设置。
事件格式	结构化数据	可以选择两种格式之一，应用程序在将事件发送到 syslog 服务器以便 SIEM 服务器能够更好进行识别之前，将事件转换为该格式。
连接协议	TCP	可以使用下拉列表来配置通过 UDP 或 TCP 协议与主 syslog 服务器的连接，以及通过 TCP 协议与镜像 syslog 服务器的连接。
主 syslog 服务器连接设置	IP 地址：127.0.0.1 端口：514	可以使用适当的字段来配置用于连接到主 syslog 服务器的 IP 地址和端口。 可以指定 IP 地址仅为 IPv4 格式。
如果无法访问主服务器则使用镜像 syslog 服务器	未应用	可以使用复选框来启用或禁用镜像 syslog 服务器。
镜像 syslog 服务器连接设置	IP 地址：127.0.0.1 端口：514	可以使用适当的字段来配置用于连接到镜像 syslog 服务器的 IP 地址和端口。 可以指定 IP 地址仅为 IPv4 格式。

要配置 SIEM 集成设置：

1. 展开 Kaspersky Security Center 管理控制台树中的“受管理设备”节点。
2. 选择要为其配置应用程序设置的管理组。
3. 在选定的管理组的详细窗格中执行以下操作之一：
   • 要为一组受保护设备配置应用程序设置，请选择“策略”选项卡，然后打开“属性：<策略名称>”窗口。
   • 要为单台受保护设备配置应用程序，请选择“设备”选项卡，然后打开“应用程序设置”窗口。

     如果某个活动 Kaspersky Security Center 策略已应用于设备，并且该策略阻止对应用程序设置的更改，则无法在“应用程序设置”窗口中编辑这些设置。

4. 在“日志和通知”部分中，单击“任务日志”子部分中的“设置”按钮。

   将打开“日志和通知设置”窗口。

5. 选择“SIEM 集成”选项卡。
6. 在“集成设置”部分中，选择“通过 syslog 协议发送事件到远程 syslog 服务器”复选框。
   

   该复选框可启用或禁用将已发布的事件发送到外部 syslog 服务器的功能。

   如果选中该复选框，则应用程序将根据配置的 SIEM 集成设置将已发布的事件发送到 SIEM 服务器。

   如果清除该复选框，则应用程序不执行 SIEM 集成。如果该复选框已被清除，则无法配置 SIEM 集成设置。

   默认取消选中该复选框。

7. 如果需要，在“集成设置”部分中，选中“删除已被发送到远程 syslog 服务器的事件本地副本”复选框。
   

   该复选框可启用或禁用发送到 SIEM 服务器后日志本地副本的删除。

   如果选中该复选框，则应用程序在事件被成功发布到 SIEM 服务器后删除事件的本地副本。推荐在低性能设备上使用此模式。

   如果清除该复选框，则应用程序仅将事件发送到 SIEM 服务器。日志的副本将继续保存在本地。

   默认取消选中该复选框。

   “删除已被发送到远程 syslog 服务器的事件本地副本”复选框的状态不会影响保存安全日志事件的设置：应用程序永远不会自动删除安全日志事件。

8. 在“事件格式”部分中，指定您要将应用程序事件转换成的格式，以便能够将它们发送到 SIEM 服务器。

   默认情况下，应用程序将它们转换为结构化数据格式。

9. 在“连接设置”部分中：
   • 指定 SIEM 连接协议。
   • 指定用于连接到主 syslog 服务器的设置。

     只能指定 IPv4 格式的 IP 地址。

   • 当无法发送事件到主 syslog 服务器时，如果想让应用程序使用其他连接设置，请选中“如果无法访问主服务器则使用镜像 syslog 服务器”复选框。

     指定以下用于连接到镜像 syslog 服务器的设置：“地址”和“端口”。

     如果已清除“如果无法访问主服务器则使用镜像 syslog 服务器”复选框，则无法编辑镜像 syslog 服务器的“地址”和“端口”字段。

     只能指定 IPv4 格式的 IP 地址。

10. 单击“确定”。

将应用已配置的 SIEM 集成设置。

页面顶部