Выбор событий для экспорта в SIEM-системы в формате Syslog

В этом разделе описывается, как выбрать события для дальнейшего экспорта в SIEM-системы в формате Syslog.

О выборе событий для экспорта в SIEM-систему в формате Syslog

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться во внешнюю SIEM-систему.

Вы можете настроить экспорт событий в формате Syslog во внешнюю систему на основе одного из следующих условий:

• Выбор общих событий. Если вы выберите экспортируемые события в политике, в свойствах события или в свойствах Сервера администрирования, то в SIEM-систему будут переданы выбранные события, которые произошли во всех программах, управляемых данной политикой. Если экспортируемые события были выбраны в политике, вам не удастся их переопределить для отдельной программы, управляемой этой политикой.
• Выбор событий для управляемой программы. Если вы выбираете экспортируемые события для управляемой программы, установленной на управляемых устройствах, то в SIEM-систему будут переданы только события, которые произошли в этой программе.

Выбор событий программ "Лаборатории Касперского" для экспорта в формате Syslog

Если вы хотите выполнить экспорт событий, произошедших в отдельной управляемой программе, установленной на управляемом устройстве, выберите для программы события для экспорта. В случае, если ранее экспортируемые события были выбраны в политике, вам не удастся переопределить выбранные события для отдельной программы, управляемой этой политикой.

Чтобы выбрать события для отдельной управляемой программы:

1. В дереве консоли Kaspersky Security Center выберите узел Управляемые устройства и перейдите на закладку Устройства.
2. Откройте контекстное меню требуемого устройства по правой клавише мыши и выберите пункт Свойства.
3. В открывшемся окне свойств устройства выберите раздел Программы.
4. В появившемся списке программ выберите программу, события которой требуется экспортировать, и нажмите на кнопку Свойства.
5. В окне свойств программы выберите раздел Настройка событий.
6. В появившемся списке событий выберите одно или несколько событий, которые требуется экспортировать в SIEM-систему, и нажмите на кнопку Свойства.
7. В открывшемся окне свойств событий выберите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отметить выбранные события для экспорта в формате Syslog. Выключите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отменить выбор событий для экспорта в формате Syslog.

   Если свойства события заданы в политике, поля этого окна недоступны для редактирования.

   

   Окно свойств событий

8. Нажмите на кнопку ОК, чтобы сохранить изменения.
9. Нажмите на кнопку ОК в окне свойств программы и в окне свойств устройства.

Выбранные события будут отправляться в SIEM-систему в формате Syslog. События, выбор которых вы отменили параметром Экспортировать в SIEM-систему по протоколу Syslog, не будут экспортироваться в SIEM-систему. Экспорт начнется сразу после того, как вы включите автоматический экспорт и выберете экспортируемые события. Выполните настройку SIEM-системы, чтобы обеспечить получение событий из Kaspersky Security Center.

Выбор общих событий для экспорта в формате Syslog

Если вы хотите выполнить экспорт событий, произошедших во всех программах, управляемых определенной политикой, выберите экспортируемые события в политике. В этом случае вы не можете выбрать события для отдельной управляемой программы.

Чтобы выбрать общие события для экспорта в SIEM-систему:

1. В дереве консоли Kaspersky Security Center выберите узел Политики.
2. Откройте контекстное меню требуемой политики по правой клавише мыши и выберите пункт Свойства.
3. В открывшемся окне свойств политики выберите раздел Настройка событий.
4. В появившемся списке событий выберите одно или несколько событий, которые требуется экспортировать в SIEM-систему, и нажмите на кнопку Свойства.

   Если требуется выбрать все события, нажмите на кнопку Выделить все.

5. В открывшемся окне свойств событий выберите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отметить выбранные события для экспорта в формате Syslog. Снимите флажок Экспортировать в SIEM-систему по протоколу Syslog, чтобы отменить выбор событий для экспорта в формате Syslog.

   

   Окно свойств событий Сервера администрирования

6. Нажмите на кнопку ОК, чтобы сохранить изменения.
7. В окне свойств политики нажмите на кнопку ОК.

Выбранные события будут отправляться в SIEM-систему в формате Syslog. События, выбор которых вы отменили параметром Экспортировать в SIEM-систему по протоколу Syslog, не будут экспортироваться в SIEM-систему. Экспорт начнется сразу после того, как вы включите автоматический экспорт и выберете экспортируемые события. Выполните настройку SIEM-системы, чтобы обеспечить получение событий из Kaspersky Security Center.