Configurando a publicação de eventos do aplicativo em um sistema SIEM

Para configurar a publicação de eventos no Modo de Suporte Técnico, você deve primeiro carregar a chave pública SSH na interface da Web do aplicativo.

Siga as etapas abaixo em cada node do cluster do qual você deseja publicar eventos no sistema SIEM. Você só deve ativar a exportação de eventos no formato CEF depois de configurar a publicação de eventos.

Para configurar a publicação de eventos do aplicativo em um sistema SIEM:

1. Se o Kaspersky Web Traffic Security tiver sido instalado de um arquivo ISO, conecte-se ao console de gerenciamento da máquina virtual do Kaspersky Web Traffic Security sob a conta raiz usando a chave privada SSH. Isso leva você ao Modo de Suporte Técnico.

   Se o Kaspersky Web Traffic Security tiver sido instalado de um pacote RPM ou DEB, inicie o shell de comando do sistema operacional para executar comandos com permissões de superusuário (administrador do sistema).

2. Os eventos são enviados para um sistema SIEM externo usando o serviço de registro em log do sistema rsyslog. Para garantir que o serviço esteja instalado e em execução, execute o seguinte comando:

   systemctl status rsyslog

   O status do serviço deve estar em execução.

   Se o serviço rsyslog não estiver em execução ou não estiver instalado, instale e ative o serviço rsyslog de acordo com a documentação de seu sistema operacional.

3. Especifique o endereço e a porta para conectar-se ao servidor com o sistema SIEM. Para isso, crie o arquivo /etc/rsyslog.d/kwts-cef-messages.conf e adicione as seguintes linhas:

   $ActionQueueFileName ForwardToSIEM5

   $ActionQueueMaxDiskSpace 1g

   $ActionQueueSaveOnShutdown on

   $ActionQueueType LinkedList

   $ActionResumeRetryCount -1

   local5.*@@<endereço IP do sistema SIEM>:<porta na qual o sistema SIEM recebe mensagens do Syslog através do protocolo TCP>

   local5.* stop

   Exemplo: $ActionQueueFileName ForwardToSIEM5 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 local5.* @@10.16.32.64:514 local5.* stop

4. Reinicie o serviço rsyslog. Para fazer isso, execute o comando:

   systemctl restart rsyslog

5. Verifique o status do serviço rsyslog usando o seguinte comando:

   systemctl status rsyslog

   O status deve estar em execução.

6. Envie uma mensagem de teste para o sistema SIEM:

   logger -p local5.info Test message

A publicação de eventos do aplicativo no sistema SIEM é configurada.

Topo da página