配置 SIEM 整合設定
為了減小低效能裝置上的負載和降低由於應用程式記錄大小增大而造成系統效能降級的風險,可以透過 Syslog 協定將稽核事件和工作效能事件的發佈配置到 syslog 伺服器。
syslog 伺服器是用於聚合事件 (SIEM) 的外部伺服器。它會儲存和分析收到的事件,並執行其他記錄管理操作。
可以在兩種模式中使用 SIEM 整合:
- 在 syslog 伺服器上複製事件:在此模式下,其發佈在記錄設定中進行配置的所有工作效能事件以及所有系統稽核事件,即使在傳送到 SIEM 伺服器後仍繼續儲存在受防護裝置上。
建議使用此模式以盡可能減少受防護裝置上的負載。
- 刪除事件的本機副本:在此模式下,在應用程式執行過程中註冊和發佈到 SIEM 的所有事件將從受防護裝置中刪除。
應用程式永遠不會刪除安全記錄的本機版本。
Kaspersky Embedded Systems Security for Windows 可以將應用程式記錄中的事件轉換為 syslog 伺服器支援的格式,以便這些事件能夠被傳輸和被 SIEM 伺服器成功識別。應用程式支援轉換為結構化資料格式和 JSON 格式。
透過定義連線到映像 syslog 伺服器的設定,可以降低事件傳輸到 SIEM 伺服器不成功的風險。
映像 syslog 伺服器是一個額外的 syslog 伺服器,如果與主 syslog 伺服器的連線無法使用或不能使用主要伺服器,應用程式會自動轉換到該伺服器。
預設情況下,不使用 SIEM 整合。您可以啟用和停用 SIEM 整合,並配置相關設定(參見下表)。
SIEM 整合設定
設定 |
預設值 |
敘述 |
|---|---|---|
透過 syslog 協定傳送事件到遠端 syslog 伺服器 |
未套用 |
可以分別透過選擇或清除該核取方塊來啟用或停用 SIEM 整合。 |
刪除已被傳送到遠端 syslog 伺服器的事件本機副本 |
未套用 |
可以透過選中或清除核取方塊來配置將記錄傳送到 SIEM 伺服器後儲存記錄本機副本的設定。 |
事件格式 |
結構化資料 |
可以選擇兩種格式之一,應用程式在將事件傳送到 syslog 伺服器以便 SIEM 伺服器能夠更好進行識別之前,將事件轉換為該格式。 |
連線協定 |
TCP |
可以使用下拉清單來配置透過 UDP 或 TCP 協定與主 syslog 伺服器的連線,以及透過 TCP 協定與映像 syslog 伺服器的連線。 |
主 syslog 伺服器連線設定 |
IP 位址:127.0.0.1 連接埠:514 |
可以使用適當的欄位來配置用於連線到主 syslog 伺服器的 IP 位址和連接埠。 可以指定 IP 位址僅為 IPv4 格式。 |
如果無法存取主伺服器則使用映像 syslog 伺服器 |
未套用 |
可以使用核取方塊來啟用或停用映像 syslog 伺服器。 |
映像 syslog 伺服器連線設定 |
IP 位址:127.0.0.1 連接埠:514 |
可以使用適當的欄位來配置用於連線到映像 syslog 伺服器的 IP 位址和連接埠。 可以指定 IP 位址僅為 IPv4 格式。 |
若要設定與 SIEM 整合的設定:
- 展開卡巴斯基安全管理中心管理主控台樹狀目錄中的“受管理裝置”節點。
- 選擇要為其配置應用程式設定的管理群組。
- 在選定的管理群組的詳情視窗中執行以下之一操作:
- 在“記錄和通知”部分中,點擊“工作記錄”子區段中的“設定”按鈕。
將開啟“記錄和通知設定”視窗。
- 選擇“SIEM 整合”標籤。
- 在整合設定區塊中,選擇透過 syslog 協定傳送事件到遠端 syslog 伺服器核取方塊。
- 如果需要,在整合設定區塊中,選擇刪除已被傳送到遠端 syslog 伺服器的事件本機副本核取方塊。
“刪除已被傳送到遠端 syslog 伺服器的事件本機副本”核取方塊的狀態不會影響儲存安全記錄檔案事件的設定:應用程式永遠不會自動刪除安全記錄事件。
- 在事件格式區塊中,指定您要將應用程式事件轉換成的格式,以便能夠將它們傳送到 SIEM 伺服器。
預設情況下,應用程式將它們轉換為結構化資料格式。
- 在連線設定區塊中:
- 指定 SIEM 連線協定。
- 在名稱相同的欄位中,指定用於連線至主 syslog 伺服器的 IPv4 位址和連接埠。
- 當無法傳送事件到主 syslog 伺服器時,如果想讓應用程式使用其他連線設定,請選中“如果無法存取主伺服器則使用映像 syslog 伺服器”核取方塊。
- 在名稱相同的欄位中,指定用於連線至附加 syslog 伺服器的 IPv4 位址和連接埠。
- 點擊“確定”按鈕。
將套用已配置的 SIEM 整合設定。
頁面頂部