配置 SIEM 整合設定

為了減小低效能裝置上的負載和降低由於應用程式記錄大小增大而造成系統效能降級的風險，可以透過 Syslog 協定將稽核事件和工作效能事件的發佈配置到 syslog 伺服器。

syslog 伺服器是用於聚合事件 (SIEM) 的外部伺服器。它會儲存和分析收到的事件，並執行其他記錄管理操作。

可以在兩種模式中使用 SIEM 整合：

• 在 syslog 伺服器上複製事件：在此模式下，其發佈在記錄設定中進行配置的所有工作效能事件以及所有系統稽核事件，即使在傳送到 SIEM 伺服器後仍繼續儲存在受防護裝置上。

  建議使用此模式以盡可能減少受防護裝置上的負載。

• 刪除事件的本機副本：在此模式下，在應用程式執行過程中註冊和發佈到 SIEM 的所有事件將從受防護裝置中刪除。

  應用程式永遠不會刪除安全記錄的本機版本。

Kaspersky Security for Windows Server 可以將應用程式記錄中的事件轉換為 syslog 伺服器支援的格式，以便這些事件能夠被傳輸和被 SIEM 伺服器成功識別。應用程式支援轉換為結構化資料格式和 JSON 格式。

為降低事件傳輸到 SIEM 伺服器不成功的風險，您可以定義連線到映像 syslog 伺服器的設定。

映像 syslog 伺服器是一個額外的 syslog 伺服器，如果與主 syslog 伺服器的連線無法使用或不能使用主要伺服器，應用程式會自動轉換到該伺服器。

預設情況下，不使用 SIEM 整合。您可以啟用和停用 SIEM 整合，並配置相關設定（參見下表）。

SIEM 整合設定

設定	預設值	敘述
透過 syslog 協定傳送事件到遠端 syslog 伺服器	未套用	可以分別透過選擇或清除該核取方塊來啟用或停用 SIEM 整合。
刪除已被傳送到遠端 syslog 伺服器的事件本機副本	未套用	可以透過選中或清除核取方塊來配置將記錄傳送到 SIEM 伺服器後儲存記錄本機副本的設定。
事件格式	結構化資料	可以選擇兩種格式之一，應用程式在將事件傳送到 syslog 伺服器以便 SIEM 伺服器能夠更好進行識別之前，將事件轉換為該格式。
連線協定	TCP	可以使用下拉清單來配置透過 UDP 或 TCP 協定與主 syslog 伺服器的連線，以及透過 TCP 協定與映像 syslog 伺服器的連線。
主 syslog 伺服器連線設定	IP 地址：127.0.0.1 端口：1-4	可以使用適當的欄位來配置用於連線到主 syslog 伺服器的 IP 位址和連接埠。 可以指定 IP 位址僅為 IPv4 格式。
如果無法存取主伺服器則使用映像 syslog 伺服器	未套用	可以使用核取方塊來啟用或停用映像 syslog 伺服器。
映像 syslog 伺服器連線設定	IP 地址：127.0.0.1 端口：1-4	可以使用適當的欄位來配置用於連線到映像 syslog 伺服器的 IP 位址和連接埠。 可以指定 IP 位址僅為 IPv4 格式。

要配置 SIEM 整合設定：

1. 展開卡巴斯基安全管理中心管理主控台樹狀目錄中的“受管理裝置”節點。
2. 選擇要為其配置應用程式設定的管理群組。
3. 在選定的管理群組的詳細視窗中執行以下之一操作：
   • 要為一組受防護裝置配置應用程式設定，請選取政策頁籤，然後開啟屬性：<政策名稱>視窗。
   • 要為單台受防護裝置配置應用程式，請選擇“裝置”標籤，然後開啟“應用程式設定”視窗。

     如果某個啟動卡巴斯基安全管理中心政策已套用於裝置，並且該政策封鎖對應用程式設定的變更，則無法在“應用程式設定”視窗中編輯這些設定。

4. 在“記錄和通知”部分中，點擊“工作記錄”子部分中的“設定”按鈕。

   將開啟“記錄和通知設定”視窗。

5. 選擇“SIEM 整合”標籤。
6. 在“整合設定”部分中，選擇“透過 syslog 協定傳送事件到遠端 syslog 伺服器”核取方塊。
   

   該核取方塊可啟用或停用將已發佈的事件傳送到外部 syslog 伺服器的功能。

   如果選中該核取方塊，則應用程式將根據配置的 SIEM 整合設定將已發佈的事件傳送到 SIEM 伺服器。

   如果清除該核取方塊，則應用程式不執行 SIEM 整合。如果該核取方塊已被清除，則無法配置 SIEM 整合設定。

   預設取消選定該核取方塊。

7. 如果需要，在“整合設定”部分中，選擇“刪除已被傳送到遠端 syslog 伺服器的事件本機副本”核取方塊。
   

   該核取方塊可啟用或停用傳送到 SIEM 伺服器後記錄本機副本的刪除。

   如果選中該核取方塊，則應用程式在事件被成功發佈到 SIEM 伺服器後刪除事件的本機副本。建議在低效能裝置上使用此模式。

   如果清除該核取方塊，則應用程式僅將事件傳送到 SIEM 伺服器。記錄的副本將繼續儲存在本機。

   預設取消選定該核取方塊。

   “刪除已被傳送到遠端 syslog 伺服器的事件本機副本”核取方塊的狀態不會影響儲存安全記錄檔案事件的設定：應用程式永遠不會自動刪除安全記錄事件。

8. 在“事件格式”部分中，指定您要將應用程式事件轉換成的格式，以便能夠將它們傳送到 SIEM 伺服器。

   預設情況下，應用程式將它們轉換為結構化資料格式。

9. 在“連線設定”部分中：
   • 指定 SIEM 連線協定。
   • 指定用於連線到主 syslog 伺服器的設定。

     只能指定 IPv4 格式的 IP 位址。

   • 當無法傳送事件到主 syslog 伺服器時，如果想讓應用程式使用其他連線設定，請選中“如果無法存取主伺服器則使用映像 syslog 伺服器”核取方塊。

     指定以下用于连接到镜像 syslog 服务器的设置：“地址”和“端口”。

     如果已清除“如果無法存取主伺服器則使用映像 syslog 伺服器”核取方塊，則無法編輯映像 syslog 伺服器的“位址”和“埠號”欄位。

     只能指定 IPv4 格式的 IP 位址。

10. 點擊“確定”。

將套用已配置的 SIEM 整合設定。

頁面頂部