Configuración de las opciones de integración de SIEM

Para reducir la carga en dispositivos de rendimiento reducido y reducir el riesgo de la degradación del sistema como consecuencia del aumento en los tamaños de registros de la aplicación, puede configurar la publicación de eventos de auditoría y eventos de rendimiento de la tarea en el servidor syslog mediante el protocolo Syslog.

Un servidor syslog es un servidor externo para agregar eventos (SIEM). Almacena y analiza los eventos recibidos y realiza otras acciones de administración de registros.

Puede usar la integración de SIEM en dos modos:

• Duplicar eventos en el servidor syslog: en este modo, todos los eventos de rendimiento de la tarea cuya publicación se establece en la configuración de registros, así como todos los eventos de auditoría del sistema, continúan almacenándose en el dispositivo protegido hasta después de que se envían al servidor SIEM.

  Recomendamos utilizar este modo para reducir todo lo posible la carga en el dispositivo protegido.

• Eliminar copias locales de eventos: en este modo, todos los eventos que se registran durante el funcionamiento de la aplicación y se publican en el servidor SIEM se eliminan del dispositivo protegido.

  La aplicación nunca elimina las versiones locales del registro de seguridad.

Kaspersky Embedded Systems Security para Windows puede convertir eventos en los registros de la aplicación a formatos admitidos por el servidor syslog, de modo que dichos eventos se puedan transmitir y sean reconocidos de manera exitosa por el servidor SIEM. La aplicación admite la conversión al formato de datos estructurado y al formato JSON.

Para reducir el riesgo de retransmisiones no exitosas de eventos al servidor SIEM, puede definir la configuración para realizar una conexión con un servidor syslog idéntico.

El servidor syslog idéntico es un servidor syslog adicional al cual la aplicación cambia automáticamente si la conexión con el servidor syslog principal no está disponible o si el servidor principal no se puede utilizar.

De forma predeterminada, la integración de SIEM no se usa. Puede habilitar y deshabilitar la integración de SIEM y configurar las opciones correspondientes (consulte la tabla a continuación).

Configuración de integración de SIEM

Configuración	Valor predeterminado	Descripción
Enviar eventos a un servidor remoto de Syslog, mediante el protocolo Syslog	No aplicado	Puede habilitar o deshabilitar la integración de SIEM al seleccionar o al desactivar la casilla, respectivamente.
Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog	No aplicado	Puede ajustar la configuración para almacenar copias locales de registros después de que se envíen al servidor SIEM al seleccionar o al desactivar la casilla.
Formato de los eventos	Datos estructurados	Puede seleccionar uno de dos formatos a los cuales la aplicación convierte sus eventos antes de enviarlos al servidor syslog para el mejor reconocimiento de estos eventos por el servidor SIEM.
Protocolo de conexión	TCP	Puede usar la lista desplegable para configurar la conexión con el servidor syslog principal mediante los protocolos TCP o UDP y con el servidor syslog idéntico mediante el protocolo TCP.
Configuración de conexión al servidor syslog principal	Dirección IP: 127.0.0.1 Puerto: 514	Puede usar los campos apropiados para configurar la dirección IP y el puerto usados para conectarse al servidor syslog principal. Puede especificar la dirección IP solo en el formato IPv4.
Utilice el servidor reflejado de Syslog si no es posible acceder al servidor principal	No aplicado	Puede usar la casilla para habilitar o deshabilitar el uso de un servidor syslog idéntico.
Configuración de conexión al servidor syslog idéntico	Dirección IP: 127.0.0.1 Puerto: 514	Puede usar los campos apropiados para configurar la dirección IP y el puerto usados para conectarse al servidor reflejado de Syslog. Puede especificar la dirección IP solo en el formato IPv4.

Para configurar los ajustes para la integración con SIEM:

1. Expanda el nodo Dispositivos administrados en el árbol de la Consola de administración de Kaspersky Security Center.
2. Seleccione el grupo de administración para el cual desea ajustar la configuración de la aplicación.
3. En el panel de detalles del grupo de administración seleccionado, realice una de las siguientes acciones:
   • Para establecer la configuración de los registros para un grupo de dispositivos protegidos, seleccione la pestaña Directivas y abra la ventana Propiedades: <Nombre de la directiva>.
   • Para configurar la aplicación para un único dispositivo protegido, seleccione la pestaña Dispositivos y abra los ajustes de la aplicación.
4. En la sección Registros y notificaciones, haga clic en el botón Registros de tareas en el bloque Configuración.

   Se abre la ventana Configuración de registros y notificaciones.

5. Seleccione la pestaña Integración de SIEM.
6. En el bloque Ajustes de integración, active la casilla Enviar eventos a un servidor remoto de Syslog, mediante el protocolo Syslog.
   

   La casilla habilita o deshabilita la funcionalidad para enviar eventos publicados a un servidor syslog externo.

   Si la casilla se selecciona, la aplicación envía eventos publicados al servidor SIEM según la configuración de integración de SIEM establecida.

   Si la casilla se desactiva, la aplicación no realiza la integración de SIEM. No puede ajustar la configuración de integración de SIEM si la casilla se desactiva.

   De forma predeterminada, la casilla no está activada.

7. Si es necesario, en el bloque Ajustes de integración, active la casilla Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog.
   

   La casilla habilita o deshabilita la eliminación de copias locales de registros cuando se envían al servidor SIEM.

   Si se selecciona la casilla, la aplicación elimina las copias locales de eventos después de que se han publicado correctamente en el servidor SIEM. Este modo se recomienda en dispositivos de rendimiento reducido.

   Si se desactiva la casilla, la aplicación solo envía eventos al servidor SIEM. Las copias de los de registros continúan almacenándose a nivel local.

   De forma predeterminada, la casilla no está activada.

   El estado de la casilla Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog no afecta la configuración para almacenar eventos del registro de seguridad: la aplicación nunca elimina automáticamente eventos del registro de seguridad.

8. En el bloque Formato de los eventos, especifique el formato al cual desee convertir los eventos de la aplicación de modo que se puedan enviar al servidor SIEM.

   De forma predeterminada, la aplicación los convierte en un formato de datos estructurado.

9. En el bloque Configuración de conexión:
   • Especifique el protocolo de conexión de SIEM.
   • En los campos del mismo nombre, especifique la dirección IPv4 y el puerto que se usarán para conectarse al servidor syslog principal.
   • Seleccione la casilla Utilice el servidor reflejado de Syslog si no es posible acceder al servidor principal si desea que la aplicación use otra configuración de conexión cuando sea incapaz de enviar eventos al servidor syslog principal.
   • En los campos del mismo nombre, especifique la dirección IPv4 y el puerto que se usarán para conectarse a un servidor syslog adicional.
10. Haga clic en el botón Aceptar.

La configuración de integración de SIEM establecida se aplicará.

Ir arriba