Configurazione di Kaspersky Security Center per l'esportazione degli eventi nel sistema SIEM

Espandi tutto | Comprimi tutto

È possibile abilitare l'esportazione automatica degli eventi in Kaspersky Security Center.

È possibile esportare solo gli eventi generali dalle applicazioni gestite tramite i formati CEF e LEEF. Le regole di interpretazione utilizzate per convertire gli eventi nei formati CEF e LEEF sono specificate nel file siem_conversion_rules.xml incluso nel kit di distribuzione Kaspersky Security Center.  Gli eventi specifici delle applicazioni non possono essere esportati dalle applicazioni gestite tramite i formati CEF e LEEF. Se si desidera esportare gli eventi delle applicazioni gestite o un set di eventi personalizzato che è stato configurato tramite i criteri delle applicazioni gestite, è necessario esportare gli eventi nel formato Syslog.

Per abilitare l'esportazione automatica degli eventi:

1. Nella struttura della console di Kaspersky Security Center, selezionare l'Administration Server per cui si desidera esportare gli eventi.
2. Nell'area di lavoro dell'Administration Server selezionato, selezionare la scheda Eventi.
3. Fare clic sulla freccia a discesa accanto al collegamento Configura notifiche ed esportazione eventi e selezionare Configura esportazione nel sistema SIEM nell'elenco a discesa.

   Verrà visualizzata la finestra delle proprietà degli eventi, con la sezione Esportazione degli eventi visualizzata.

4. Nella sezione Esportazione degli eventi specificare le seguenti impostazioni di esportazione:

   

   Sezione di esportazione degli eventi della finestra delle proprietà dell'evento

   • Esporta automaticamente gli eventi nel database del sistema SIEM

     Selezionare questa casella di controllo per abilitare l'esportazione automatica degli eventi nei sistemi SIEM. Selezionando questa casella di controllo vengono abilitati tutti i campi nella sezione Esportazione degli eventi.

   • Sistema SIEM

     Selezionare il sistema SIEM per l'esportazione degli eventi: QRadar® (formato LEEF), ArcSight (formato CEF), Splunk® (formato CEF) e formato Syslog (RFC 5424).

     Se si seleziona il formato Syslog, è necessario specificare:

     Dimensioni massime messaggi (byte)

     Specificare la dimensione massima (in byte) di un messaggio inviato al sistema SIEM. Ciascun evento viene inviato in un messaggio. Se la durata effettiva di un messaggio è superiore al valore specificato, il messaggio viene troncato e può verificarsi una perdita di dati. Le dimensioni predefinite sono 2048 byte. Questo campo è disponibile solo se stato è selezionato il formato Syslog nel campo Sistema SIEM.

   • Indirizzo server del sistema SIEM

     Specificare l'indirizzo server del sistema SIEM. Un indirizzo può essere specificato come nome DNS o NetBIOS o come indirizzo IP.

   • Porta server del sistema SIEM

     Specificare il numero della porta per la connessione al server del sistema SIEM. Il numero della porta deve essere identico a quello utilizzato dal sistema SIEM per ricevere gli eventi (per informazioni dettagliate vedere la sezione Configurazione di un sistema SIEM).

   • Protocollo

     Selezionare il protocollo da utilizzare per il trasferimento dei messaggi al sistema SIEM. È possibile selezionare il protocollo TCP/IP, UDP o TLS su TCP.

     Specificare le seguenti impostazioni TLS se si seleziona il protocollo TLS su TCP:

     • Autenticazione server SIEM

       Scegliere uno dei seguenti modi per autenticare il server di sistema SIEM:

       • Utilizzando i certificati dell'autorità di certificazione. È possibile ricevere un file con un elenco dei certificati da un'autorità di certificazione (CA) attendibile e caricare il file in Kaspersky Security Center. Kaspersky Security Center verifica se anche il certificato del server di sistema SIEM è firmato da un'autorità di certificazione attendibile o meno.

         Per aggiungere un certificato attendibile, fare clic sul pulsante Sfoglia, quindi caricare il certificato.

         Se si seleziona l'opzione Utilizzando i certificati dell'autorità di certificazione, è possibile specificare i nomi dei soggetti nel campo Soggetti dei certificati server (facoltativo). Il nome del soggetto è un nome di dominio per il quale viene ricevuto il certificato. Kaspersky Security Center non può connettersi al server di sistema SIEM se il nome di dominio del server di sistema SIEM non corrisponde al nome del soggetto del certificato del server di sistema SIEM. Tuttavia, il server di sistema SIEM può modificare il proprio nome di dominio se si modifica il nome del soggetto nel certificato. A tale scopo, specificare i nomi dei soggetti nel campo Soggetti dei certificati server (facoltativo). Se uno dei nomi dei soggetti specificati corrisponde al nome del soggetto del certificato di sistema SIEM, Kaspersky Security Center convalida il certificato del server di sistema SIEM.

       • Utilizzando le identificazioni personali SHA-1 dei certificati server. È possibile specificare le identificazioni personali SHA-1 dei certificati di sistema SIEM in Kaspersky Security Center Cloud Console. Per aggiungere un'identificazione personale SHA-1, inserirla nel campo sotto l'opzione.
     • Autenticazione client

       Per l'autenticazione del client, è possibile inserire il certificato o generarlo in Kaspersky Security Center.

       • Inserire il certificato. È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. Per inserire un certificato esistente, fare clic sul pulsante Cerca certificato. Nella finestra Certificato visualizzata, scegliere uno dei seguenti tipi di certificato, quindi specificare il certificato e la relativa chiave privata:
         • Certificato X.509. Caricare un file con una chiave privata nel campo Chiave privata (*.prk, *.pem) e un file con un certificato nel campo Certificato (*.cer). A tale scopo, fare clic sul pulsante Sfoglia a destra del campo corrispondente, quindi aggiungere il file richiesto. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Dopo aver caricato entrambi i file, specificare la password per la decodifica della chiave privata nel campo Password. La password può avere un valore vuoto se la chiave privata non è codificata.
         • Contenitore PKCS #12. Caricare un singolo file che contenga un certificato e la relativa chiave privata nel campo File di certificato. A tale scopo, fare clic sul pulsante Sfoglia a destra del campo, quindi aggiungere il file richiesto. Dopo aver caricato il file, specificare la password per la decodifica della chiave privata nel campo Password. La password può avere un valore vuoto se la chiave privata non è codificata.
       • Generare la chiave. È possibile generare un certificato autofirmato in Kaspersky Security Center. Fare clic sul pulsante Genera certificato, quindi immettere un nome per il soggetto nel campo Soggetto. Il certificato client viene generato per questo nome del soggetto e l'identificazione personale SHA-1 di questo certificato viene visualizzata nel campo Identificazione personale SHA-1 del certificato client. Di conseguenza, Kaspersky Security Center archivia il certificato autofirmato generato ed è possibile passare la parte pubblica del certificato o l'identificazione SHA-1 al sistema SIEM.
5. Se si desidera esportare nel database del sistema SIEM gli eventi che si verificavano dopo una data specificata in precedenza, fare clic sul pulsante Esporta archivio e specificare la data di avvio dell'esportazione degli eventi. Per impostazione predefinita, l'esportazione degli eventi viene avviata subito dopo l'abilitazione.
6. Fare clic su OK.

L'esportazione automatica degli eventi è abilitata.

Dopo aver abilitato l'esportazione automatica degli eventi, è necessario selezionare gli eventi da esportare nel sistema SIEM.

Vedere anche: Configurazione dell'esportazione di eventi nei sistemi SIEM Contrassegno degli eventi per l'esportazione nei sistemi SIEM in formato Syslog

Inizio pagina