Настройка передачи событий в SIEM-систему

Kaspersky NGFW позволяет настроить передачу событий в SIEM-систему в формате CEF. CEF – это стандарт управления типа "открытый журнал", который улучшает совместимость информации системы безопасности от разных сетевых устройств и приложений. Протокол CEF позволяет использовать общий формат журнала событий, чтобы системы управления предприятием могли легко получать и объединять данные для анализа.

Перед настройкой отправки событий вам нужно выполнить следующие действия:

• Настроить коннектор SIEM-системы.
• Настроить SIEM-систему.
• Убедиться, что в правилах фильтрации и в профилях механизмов безопасности, для которых вы хотите отправлять события, включено ведения журнала.
• Убедиться, что включены соответствующие события аудита.

В журнале сессий для событий с типом Firewall записи создаются только после удаления сессии. Пока сессия активна, вся информация о ней отображается в Менеджере сессий. В журналах событий механизмов безопасности записи создаются сразу после срабатывания действия, указанного в профиле, или исключения.

По умолчанию передача событий в SIEM-систему выключена.

Чтобы настроить передачу событий безопасности в SIEM-систему:

1. В главном меню Консоли Open Single Management Platform перейдите в раздел Приложения и сервисы → NGFW.

   Откроется вкладка Политика.

2. В разделе Система выберите События безопасности.
3. Перейдите на вкладку Параметры SIEM и установите переключатель Статус в положение Вкл.
4. Укажите IP-адрес коллектора SIEM-системы в формате IPv4 и порт для подключения к серверу в соответствующих полях.
5. В поле Тайм-аут для отправки событий (мин.) укажите период недоступности SIEM-системы в минутах, после которого события безопасности будут записываться в локальные временные файлы. По умолчанию установлен период 5 минут.
6. Выберите один из следующих протоколов:
   • UDP.
   • TCP.
   • TCP с TLS-шифрованием.
   • HTTPS.

   Протоколы TCP с TLS-шифрованием и HTTPS отправляют события в зашифрованном виде, используя TLS-шифрование. Kaspersky NGFW поддерживает TLS-шифрование версии 1.2 и выше.

   Протокол HTTPS гарантирует защищенную доставку событий в SIEM-систему с подтверждением доставки.

   Если события безопасности передаются в SIEM-систему в открытом виде (например, если вы используете UDP-соединение или не используете TLS-шифрование при TCP-соединении), то не рекомендуется использовать открытые каналы связи через сети общего пользования.

7. Если вы выбрали протокол TCP с TLS-шифрованием или HTTPS, загрузите SSL-сертификат для аутентификации SIEM-сервера и отправки шифрованных событий:
   1. В поле Сертификат сервера нажмите на кнопку Загрузить и в открывшемся окне выберите нужный файл сертификата.

      Файл сертификата должен быть текстового формата c расширением .pem. Сертификат должен быть действующим. Перед истечением срока действия загруженного сертификата уведомление об этом регистрируется в журнале служебных событий.

      Администратор, который загружает сертификат SIEM-сервера, гарантирует доверие этому сертификату.

      После успешной загрузки сертификата в блоке Информация о сертификате сервера отобразится информация об этом сертификате. Вы можете нажать на имя файла загруженного сертификата в этом блоке, чтобы просмотреть содержимое файла. В открывшемся окне также доступны следующие действия:

      • Скачать – скачать файл сертификата.
      • Копировать все – скопировать содержимое файла.
   2. Если вы хотите удалить загруженный файл сертификата, наведите курсор мыши на поле Сертификат сервера, нажмите на значок корзины и подтвердите действие. Сертификат будет удален с устройства Kaspersky NGFW.

      После этого вам нужно выбрать другой протокол либо загрузить другой сертификат для протоколов TCP с TLS-шифрованием или HTTPS.

8. Примените изменения к политике OSMP, нажав на кнопку Применить и отправить.

Статус подключения к SIEM-системе (если возможно отследить для выбранного протокола) и действия с сертификатом SIEM-сервера записываются в файл системных событий.

Если событие невозможно отправить в коллектор SIEM-системы, оно сохраняется в буфере. В случае переполнения буфера новые события сохраняются в буфер поверх самых старых событий. При этом вытесненные из буфера старые события сохраняются локально во временный файл на устройстве. Вы также можете настроить постоянное локальное хранение событий.

При невозможности отправки сообщений безопасности в SIEM-систему на SNMP-сервер отправляются SNMP-ловушки.

После восстановления соединения события из буфера и временных файлов отправляются в SIEM-систему.

Вы можете уменьшить периоды возможных разрывов соединения устройств Kaspersky NGFW с коллектором SIEM-системы следующими способами:

• Располагая коллекторы рядом с каждым устройством Kaspersky NGFW в Центре обработки данных или в филиале.
• Обеспечивая резервные каналы связи для подключения филиала к коллектору.
• Размещая резервные коллекторы на независимых друг от друга серверах, подключенных в сеть разными каналами связи.

После перезагрузки устройства Kaspersky NGFW настроенные параметры подключения к SIEM-системе сохраняются.

На стороне устройства Kaspersky NGFW не проверяется доступность коллекторов SIEM-системы. Для контроля доступности коллекторов используйте механизмы на стороне коллекторов с отправкой уведомлений при недоступности источника событий.

Чтобы просматривать каждый журнал событий безопасности как отдельный журнал (из всего потока событий в KUMA), используется скрипт с набором сохраненных SQL-запросов, которые формируют префильтры, использующиеся при отображении событий в каждом журнале событий безопасности.

В начало