SIEM 시스템으로 이벤트를 내보내기 위한 Kaspersky Security Center 구성

모두 펼치기 | 모두 접기

이 문서에서는 SIEM 시스템으로 이벤트 내보내기를 구성하는 방법을 설명합니다.

Kaspersky Security Center 웹 콘솔에서 SIEM 시스템으로 내보내기를 구성하려면:

1. 메인 메뉴에서 콘솔 설정 → 통합 섹션으로 이동합니다.
2. 통합 탭에서 SIEM 섹션을 선택합니다.
3. 설정 링크를 누릅니다.

   설정 내보내기 섹션이 열립니다.

4. 설정 내보내기 섹션에서 다음 설정을 지정합니다.
   • SIEM 시스템 서버 주소

     현재 사용 중인 SIEM 시스템이 설치된 서버의 IP 주소입니다. SIEM 시스템 설정에서 이 값을 확인하십시오.

   • SIEM 시스템 포트

     Kaspersky Security Center와 SIEM 시스템 서버 간의 연결을 설정하는 데 사용되는 포트 번호입니다. Kaspersky Security Center 설정과 SIEM 시스템의 수신기 설정에서 이 값을 지정할 수 있습니다.

   • 프로토콜

     SIEM 시스템으로 메시지를 전송하는 데 사용할 프로토콜을 선택합니다. TCP 프로토콜을 통해 TCP/IP, UDP 또는 TLS를 선택할 수 있습니다.

     TCP 프로토콜을 통해 TLS를 선택하면 다음과 같은 TLS 설정을 지정할 수 있습니다.

     • 서버 인증

       서버 인증 필드에서 다음과 같이 신뢰할 수 있는 인증서 또는 SHA 지문 값을 선택할 수 있습니다.

       • 신뢰할 수 있는 인증서. 신뢰할 수 있는 인증 기관(CA)에서 인증서 목록이 포함된 파일을 수신하여 Kaspersky Security Center에 업로드할 수 있습니다. Kaspersky Security Center가 SIEM 시스템 서버의 인증서가 신뢰할 수 있는 인증 기관에 의해 서명되었는지 확인합니다.

         신뢰할 수 있는 인증서를 추가하려면 CA 인증서 파일 찾기 버튼을 클릭한 다음 인증서를 업로드합니다.

       • SHA 지문. Kaspersky Security Center에 대한 SIEM 시스템 인증서의 SHA-1 지문을 지정할 수 있습니다. SHA-1 지문을 추가하려면 지문 필드에 입력한 다음 추가 버튼을 누릅니다.

       클라이언트 인증 추가 설정을 사용하여 Kaspersky Security Center를 인증하기 위한 인증서를 생성할 수 있습니다. 따라서 Kaspersky Security Center에서 발급한 자체 서명 인증서를 사용하게 됩니다. 이 경우 신뢰할 수 있는 인증서와 SHA 지문을 모두 사용하여 SIEM 시스템 서버를 인증할 수 있습니다.

     • 주체 이름/주체 대체 이름 추가

       대상 이름은 인증서가 수신되는 도메인 이름입니다. Kaspersky Security Center는 SIEM 시스템 서버의 도메인 이름이 SIEM 시스템 서버 인증서의 대상 이름과 일치하지 않는 경우 SIEM 시스템 서버에 연결할 수 없습니다. 그러나 SIEM 시스템 서버는 인증서에서 이름이 변경된 경우 도메인 이름을 변경할 수 있습니다. 이 경우 주체 이름/주체 대체 이름 추가 필드에 주체 이름을 지정할 수 있습니다. 지정된 대상 이름이 SIEM 시스템 인증서의 대상 이름과 일치하면 Kaspersky Security Center가 SIEM 시스템 서버 인증서의 유효성을 검증합니다.

     • 클라이언트 인증 추가

       클라이언트 인증의 경우 인증서를 삽입하거나 Kaspersky Security Center에서 생성할 수 있습니다.

       • 인증서 삽입 . 신뢰할 수 있는 인증 기관(CA)과 같은 다양한 경로에서 수신된 인증서를 사용할 수 있습니다. 다음 인증서 유형 중 하나를 사용하여 인증서와 개인 키를 지정해야 합니다:
         • X.509 인증서 PEM. 인증서가 있는 파일 필드에 인증서가 있는 파일을 업로드하고 키가 있는 파일 필드에 개인 키가 있는 파일을 업로드합니다. 두 파일은 서로 의존하지 않으며 파일의 로딩 순서는 중요하지 않습니다. 두 파일이 모두 업로드되면 암호 또는 인증서 확인 필드에 개인 키 디코딩을 위한 암호를 지정합니다. 개인 키가 인코딩되지 않은 경우 암호는 빈 값을 가질 수 있습니다.
         • X.509 인증서 PKCS12. 인증서가 있는 파일 필드에 인증서와 개인 키가 포함된 단일 파일을 업로드합니다. 파일이 업로드되면 암호 또는 인증서 확인 필드에 개인 키 디코딩을 위한 암호를 지정합니다. 개인 키가 인코딩되지 않은 경우 암호는 빈 값을 가질 수 있습니다.
       • 키 생성. Kaspersky Security Center에서 자체 서명 인증서를 생성할 수 있습니다. Kaspersky Security Center는 생성된 인증서를 저장하고 인증서의 공개 부분 또는 SHA1 지문을 SIEM 시스템에 전달할 수 있습니다.
   • 데이터 형식

     SIEM 시스템의 요구 사항에 따라 Syslog, CEF 또는 LEEF 형식을 선택할 수 있습니다.

   Syslog 형식을 선택하는 경우 다음을 지정해야 합니다:

   • 이벤트 메시지 최대 크기 (byte)

     SIEM 시스템으로 전달되는 메시지 하나의 최대 크기(바이트)를 지정합니다. 각 이벤트는 메시지 하나로 전달됩니다. 실제 메시지 길이가 지정된 값을 초과하면 메시지가 잘리며 데이터가 손실될 수 있습니다. 기본 크기는 2048바이트입니다. 이 필드는 프로토콜 필드에서 Syslog 형식을 선택한 경우에만 사용할 수 있습니다.

5. 옵션을 SIEM 시스템 데이터베이스로 이벤트 자동 내보내기활성화됨 위치로 전환합니다.
6. 저장 버튼을 누릅니다.

SIEM 시스템으로 내보내기가 구성되었습니다.

참고 항목: 시나리오: SIEM 시스템으로 이벤트 내보내기 구성

맨 위로