تكوين Kaspersky Security Center لتصدير الأحداث إلى نظام SIEM

توسيع الكل | طي الكل

يمكنك تمكين التصدير التلقائي للأحداث في Kaspersky Security Center.‏

يمكن فقط تصدير الأحداث العامة من التطبيقات المُدارة عبر تنسيقات CEF وLEEF. يتم تحديد قواعد التفسير المستخدمة لتحويل الأحداث إلى تنسيتي CEF وLEEF في ملف siem_conversion_rules.xml، وهو ملف مضمن في حزمة توزيع Kaspersky Security Center.  يتعذر تصدير الأحداث المخصصة للتطبيق من التطبيقات المُدارة عبر تنسيقات CEF وLEEF. إذا كنت في حاجة لتصدير الأحداث من التطبيقات المُدارة أو مجموعة مخصصة من الأحداث التي تم تكوينها باستخدام سياسات التطبيقات المُدارة، فقم بتصدير الحدث عبر تنسيق Syslog.‏

لتمكين التصدير التلقائي للأحداث:

1. في شجرة وحدة تحكم Kaspersky Security Center، حدد خادم الإدارة الذي تريد تصدير أحداثه.
2. في مساحة عمل خادم الإدارة المحدد، حدد علامة التبويب الأحداث.
3. انقر فوق سهم القائمة المنسدلة بجوار الرابط تكوين الإخطارات وتصدير الأحداث وحدد تكوين التصدير إلى نظام SIEM في القائمة المنسدلة.

   يتم فتح النافذة خصائص الأحداث، التي تعرض القسم تصدير الأحداث.

4. في القسم تصدير الأحداث، حدد إعدادات التصدير التالية:

   

   قسم تصدير الأحداث بنافذة خصائص الأحداث

   • تصدير الأحداث تلقائيًا إلى قاعدة بيانات SIEM‏

     حدد خانة الاختيار هذه لتمكين التصدير التلقائي إلى أنظمة SIEM. يؤدي تحديد خانة الاختيار هذه إلى تمكين جميع الحقول في قسم تصدير الأحداث.‏

   • نظام SIEM‏

     حدد نظام SIEM لتصدير الأحداث:QRadar® (تنسيق LEEF)، وArcSight (تنسيق CEF) وSplunk® (تنسيق CEF) وتنسيق Syslog (RFC 5424).‏

     إذا قمت بتحديد تنسيق Syslog، فيجب عليك تحديد:

     الحد الأقصى لحجم الرسالة، بوحدات البايت‏

     حدد أقصى حجم للرسالة (بالبايت) التي يتم ترحيلها إلى نظام SIEM. يتم ترحيل كل حدث في رسالة واحدة. إذا تجاوز الطول الفعلي للرسالة القيمة المحددة، فقد يتم اقتطاع الرسالة أو فقد البيانات. الحجم الافتراضي هو 2048 بايت. يتوفر هذا الحقل فقط إذا قمت بتحديد التنسيق Syslog في الحقل نظام SIEM.‏

   • عنوان خادم نظام SIEM‏

     حدد عنوان خادم نظام SIEM.‏ يمكن تحديد العنوان كاسم DNS أو NetBIOS أو كعنوان IP.‏

   • منفذ خادم نظام SIEM‏

     حدد رقم المنفذ للاتصال بخادم نظام SIEM.‏ يجب أن يكون رقم المنفذ مطابقًا للرقم الذي يستخدمه نظام SIEM الخاص بك لاستلام الأحداث (راجع قسم تكوين نظام SIEM للاطلاع على التفاصيل).

   • البروتوكول‏

     حدد البروتوكول الذي سيُستخدم لنقل الرسائل إلى نظام SIEM. يمكنك تحديد إما بروتوكول TCP/IP، أو UDP أو TLS من خلال بروتوكول TCP.‏

     حدد إعدادات TLS التالية إذا قمت بتحديد TLS عبر بروتوكول TCP:‏

     • مصادقة خادم SIEM

       اختر إحدى الطرق التالية لمصادقة خادم نظام SIEM:‏

       • من خلال استخدام شهادات CA. يمكنك استلام ملف بقائمة الشهادات من مرجع مصدق موثوق به (CA) وتحميل الملف إلى Kaspersky Security Center. يتحقق Kaspersky Security Center مما إذا كانت شهادة خادم نظام SIEM موقعة أيضًا من قِبل مرجع مصدق موثوق أم لا.

         لإضافة شهادة موثوقة، انقر فوق زر استعراض، ثم قم بتحميل الشهادة.

         إذا قمت بتحديد خيار من خلال استخدام شهادات CA، يمكنك تحديد أسماء الموضوعات في حقل مواضيع شهادات الخادم (اختياري). اسم الموضوع هو اسم المجال الذي تم استلام الشهادة من أجله. لا يمكن لـ Kaspersky Security Center الاتصال بخادم نظام SIEM إذا كان اسم المجال لخادم نظام SIEM لا يتطابق مع اسم موضوع شهادة خادم نظام SIEM. ومع ذلك، يستطيع خادم نظام SIEM تغيير اسم المجال الخاص به في حالة تغيير الاسم في الشهادة. للقيام بذلك، حدد أسماء الموضوعات في حقل مواضيع شهادات الخادم (اختياري). إذا تطابق أيٍ من أسماء الموضوعات المحددة مع اسم موضوع شهادة نظام SIEM، فسيتحقق Kaspersky Security Center من صحة شهادة خادم نظام SIEM.‏

       • باستخدام بصمات إبهام SHA-1 لشهادات الخادم. يمكنك تحديد بصمات الإبهام SHA-1 لشهادات نظام SIEM في Kaspersky Security Center. لإضافة بصمة إبهام SHA-1، أدخلها في الحقل الموجود أسفل الخيار.
     • مصادقة العميل

       لمصادقة العميل، يمكنك إدخال شهادتك أو إنشائها في Kaspersky Security Center.‏

       • إدراج الشهادة. يمكنك استخدام شهادة استلمتها من أي مصدر، على سبيل المثال، من أي جهة إصدار موثوقة. لإدراج شهادة موجودة، انقر فوق زر تصفح الشهادة. في نافذة الشهادة المفتوحة، اختر أحد أنواع الشهادات التالية، ثم حدد الشهادة ومفتاحها الخاص:
         • الشهادة X.509. قم برفع ملف مع المفتاح الخاص بتنسيق حقل المفتاح الخاص (*.prk, *.pem)، وملف بشهادة في حقل شهادة (*.cer). للقيام بذلك، انقر فوق زر استعراض على يمين الحقل المقابل، ثم أضف الملف المطلوب. كلا الملفين لا يعتمدان على بعضهما البعض وترتيب تحميل الملفات ليس مهمًا. بعد رفع كلا الملفين، حدد كلمة المرور لفك تشفير المفتاح الخاص في حقل كلمة المرور. يمكن أن تحتوي كلمة المرور على قيمة فارغة إذا لم يتم تشفير المفتاح الخاص.
         • الحاوية PKCS#12. ارفع ملف واحد يحتوي على شهادة ومفتاحها الخاص في حقل ملف الشهادة. للقيام بذلك، انقر فوق زر استعراض الموجود على يمين الحقل، ثم أضف الملف المطلوب. بعد رفع الملف، حدد كلمة المرور لفك تشفير المفتاح الخاص في حقل كلمة المرور. يمكن أن تحتوي كلمة المرور على قيمة فارغة إذا لم يتم تشفير المفتاح الخاص.
       • أنشئ مفتاح. يمكنك إنشاء شهادة موقعة ذاتيًا في Kaspersky Security Center. انقر على إنشاء شهادة جديدة، ثم أدخل اسم موضوع في حقل الموضوع. يتم إنشاء شهادة العميل لاسم الموضوع هذا ويتم عرض بصمة SHA-1 لهذه الشهادة في حقل بصمة إصبع SHA-1 لشهادة العميل . نتيجة لذلك، يخزن Kaspersky Security Center الشهادة الموقعة ذاتيًا التي تم إنشاؤها، ويمكنك تمرير الجزء العام من الشهادة أو بصمة SHA1 إلى نظام SIEM.‏
5. إذا كنت تريد تصدير الأحداث التي حدثت بعد تاريخ محدد في الماضي إلى قاعدة بيانات نظام SIEM، فانقر فوق الزر تصدير الأرشيف وحدد تاريخ بدء تصدير الأحداث. سيبدأ تصدير الحدث بشكل افتراضي بعد تمكينك له على الفور.
6. انقر علىموافق.‏

تم تمكين التصدير التلقائي للأحداث.

بعد تمكين التصدير التلقائي للأحداث، يجب عليك تحديد الأحداث التي سيتم تصديرها إلى نظام SIEM.‏

انظر أيضًا: تكوين تصدير الحدث إلى أنظمة SIEM وضع علامة على الأحداث للتصدير إلى أنظمة SIEM بتنسيق Syslog

أعلى الصفحة