Configurando o Kaspersky Security Center para exportação de eventos para o sistema SIEM

Expandir tudo | Recolher tudo

Este artigo descreve como configurar a exportação de eventos para sistemas SIEM.

Para configurar a exportação para sistemas SIEM no Kaspersky Security Center 13.2 Web Console:

1. Na lista suspensa Configurações do console, selecione Integração.

   A janela Configurações do console se abre.

2. Selecione a guia Integração.
3. Na guia Integração, selecione a seção SIEM.
4. Clique no link Configurações.

   A seção Exportar as configurações é aberta.

5. Especifique as configurações na seção Exportar as configurações:
   • Endereço do servidor do sistema SIEM

     O endereço IP do servidor onde o sistema SIEM atualmente usado está instalado. Verifique este valor nas suas configurações de sistema SIEM.

   • Porta do sistema SIEM

     O número da porta usada para estabelecer a conexão entre o Kaspersky Security Center e o seu servidor do sistema SIEM. Você especifica este valor nas configurações do Kaspersky Security Center e nas configurações do receptor do seu sistema SIEM.

   • Protocolo

     Selecione o protocolo a ser usado para transferir mensagens para o sistema SIEM. Você pode selecionar o TCP/IP, UDP ou TLS sobre protocolo TCP.

     Especifique as seguintes configurações de TLS se selecionar o protocolo TLS sobre TCP:

     • Autenticação do servidor

       No campo Autenticação do servidor, você pode selecionar os valores de Certificados confiáveis ou de Impressões digitais SHA:

       • Certificados confiáveis. Você pode receber um arquivo com a lista de certificados de uma autoridade de certificação (CA) confiável e carregá-lo para o Kaspersky Security Center. O Kaspersky Security Center verifica se o certificado do servidor do sistema SIEM também é assinado por CAs confiáveis ou não.

         Para adicionar um certificado confiável, clique no botão Procurar arquivo de certificados CA e, em seguida, carregue o certificado.

       • Impressões digitais SHA. Você pode especificar as impressões digitais SHA-1 dos certificados do sistema SIEM no Kaspersky Security Center. Para adicionar uma impressão digital SHA-1, insira-a no campo Impressões digital e, em seguida, clique no botão Adicionar.

       Ao usar a configuração Adicionar autenticação do cliente, você pode gerar um certificado para autenticar o Kaspersky Security Center. Assim, você usará um certificado autoassinado emitido pelo Kaspersky Security Center. Nesse caso, você pode usar um certificado confiável e uma impressão digital SHA para autenticar o servidor do sistema SIEM.

     • Adicionar nome do assunto/nome alternativo do assunto

       Nome do assunto é um nome de domínio para o qual o certificado foi recebido. O Kaspersky Security Center não pode se conectar ao servidor do sistema SIEM se o nome de domínio do servidor do sistema SIEM não corresponder ao nome da entidade do certificado do servidor do sistema SIEM. No entanto, o servidor do sistema SIEM pode alterar seu nome de domínio se o nome tiver sido alterado no certificado. Neste caso, você pode especificar nomes de assuntos no campo Adicionar nome do assunto/nome alternativo do assunto. Se qualquer um dos nomes de assunto especificados corresponder ao nome do assunto do certificado do sistema SIEM, o Kaspersky Security Center valida o certificado do servidor do sistema SIEM.

     • Adicionar autenticação do cliente

       Para autenticação de cliente, você pode inserir o seu certificado ou gerá-lo no Kaspersky Security Center.

       • Inserir certificado. Você pode usar um certificado que recebeu de qualquer fonte, por exemplo, de qualquer CA confiável. Você deve especificar o certificado e sua chave privada usando um dos seguintes tipos de certificado:
         • Certificado X.509 PEM. Carregue um arquivos com um certificado no campo Arquivo com certificado e um arquivo com uma chave privada no campo Arquivo com chave. Ambos os arquivos não dependem um do outro e a ordem de carregamento dos arquivos não é significativa. Quando os dois arquivos forem carregados, especifique a senha para decodificar a chave privada no campo Verificação de senha ou certificado. A senha pode ter um valor vazio se a chave privada não estiver codificada.
         • Certificado X.509 PKCS12. Carregue um único arquivo que contenha um certificado e sua chave privada no campo Arquivo com certificado. Quando o arquivo for carregado, especifique a senha para decodificar a chave privada no campo Verificação de senha ou certificado. A senha pode ter um valor vazio se a chave privada não estiver codificada.
       • Gerar chave. Você pode gerar um certificado autoassinado no Kaspersky Security Center. Como resultado, o Kaspersky Security Center armazena o certificado autoassinado gerado e você pode passar a parte pública do certificado ou a impressão digital SHA1 para o sistema SIEM.
   • Formato de data

     Você pode selecionar os formatos Syslog, CEF ou LEEF, dependendo dos requisitos do sistema SIEM.

   Se selecionar o formato Syslog, você deve especificar:

   • Tamanho máximo da mensagem de eventos, em bytes

     Especifique o tamanho máximo (em bytes) de uma mensagem encaminhada ao sistema SIEM. Cada evento é encaminhado em uma mensagem. Se o comprimento real de uma mensagem exceder o valor especificado, a mensagem é truncada e os dados podem ser perdidos. O tamanho padrão é de 2.048 bytes. Este campo somente está disponível se você selecionou o formato Syslog no campo Protocolo.

6. Alterne a opção para a posição Exportar automaticamente eventos para o banco de dados do sistema SIEM ATIVADO.
7. Clique no botão Salvar.

A exportação para o sistema SIEM está configurada.

Consulte também: Cenário: configurando a exportação de eventos para um sistema SIEM

Topo da página