Configurando a publicação de eventos de aplicativo para um sistema SIEM

Para configurar a publicação de eventos no modo de suporte técnico, primeiramente é necessário carregar a chave SSH pública na interface web do aplicativo.

Antes de iniciar a configuração, certifique-se de ter ativado a exportação de eventos no formato CEF.

Execute as instruções abaixo em cada node do cluster cujos eventos se deseja publicar em um sistema SIEM.

Para configurar a publicação de eventos de aplicativo em um sistema SIEM:

1. Conecte-se ao console de gerenciamento da máquina virtual do Kaspersky Secure Mail Gateway na conta raiz, usando uma chave SSH privada.

   Você entrará no modo suporte técnico.

2. Especifique o endereço e a porta para se conectar ao servidor que hospeda o sistema SIEM. Para fazer isso, adicione as seguintes linhas ao final do arquivo /etc/rsyslog.conf:

   $ActionQueueFileName ForwardToSIEM

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   <categoria (recurso)>. * @@<endereço IP do sistema SIEM>: <porta usada pelo sistema SIEM para receber as mensagens do Syslog pelo TCP>

   Antes de fazer qualquer alteração no arquivo /etc/rsyslog.conf, é recomendável fazer uma cópia de backup. Um erro durante a edição do arquivo pode fazer com que o sistema funcione incorretamente.

3. Reinicie o serviço rsyslog. Para isso, execute o seguinte comando:

   o serviço rsyslog é reiniciado

A publicação dos eventos do aplicativo para o sistema SIEM será configurada.

Topo da página