Configurar la publicación de eventos de la aplicación en un sistema SIEM

Para configurar la publicación de eventos en el modo de soporte técnico, primero tiene que cargar la clave pública SSH en la interfaz web de la aplicación.

Siga los pasos a continuación en cada nodo del clúster desde el que desee publicar eventos en el sistema SIEM. Solo debería activar la exportación de eventos en formato CEF después de configurar la publicación de eventos.

Para configurar la publicación de eventos de la aplicación en un sistema SIEM:

  1. Si Kaspersky Web Traffic Security se ha instalado desde un archivo ISO, conéctese a la consola de administración de la máquina virtual de Kaspersky Web Traffic Security en la cuenta raíz con la clave privada SSH. Así accederá al modo de soporte técnico.

    Si Kaspersky Web Traffic Security se ha instalado desde un paquete RPM o DEB, inicie el shell de comandos del sistema operativo para ejecutar comandos con permisos de superusuario (administrador del sistema).

  2. Los eventos se envían a un sistema SIEM externo mediante el servicio de registro del sistema rsyslog. Para asegurarse de que el servicio esté instalado y en ejecución, ejecute el comando siguiente:

    systemctl status rsyslog

    El estado del servicio debe ser running.

    Si el servicio rsyslog no se está ejecutando o no está instalado, instale y active el servicio según la documentación de su sistema operativo.

  3. Especifique la dirección y el puerto para conectarse al servidor con el sistema SIEM. Para ello, cree el archivo /etc/rsyslog.d/kwts-cef-messages.conf y añádale las líneas siguientes:

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.*@@<dirección IP del sistema SIEM>:<puerto en el que el sistema SIEM recibe mensajes de Syslog a través del protocolo TCP>

    local5.* stop

    Ejemplo:

    $ActionQueueFileName ForwardToSIEM5

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local5.* @@10.16.32.64:514

    local5.* stop
  4. Reiniciar el servicio rsyslog. Para hacerlo, ejecute el comando:

    systemctl restart rsyslog

  5. Verifique el estado del servicio rsyslog con el comando siguiente:

    systemctl status rsyslog

    El estado debe ser running.

  6. Envíe un mensaje de prueba al sistema SIEM:

    logger -p local5.info Test message

La publicación de eventos de la aplicación en el sistema SIEM está configurada.

Inicio de página