イベントを SIEM システムにエクスポートするための Kaspersky Security Center Cloud コンソールの設定

すべて表示 | すべて非表示

SIEM システムにイベントをエクスポートするには、Kaspersky Security Center Cloud コンソールでエクスポートのプロセスを設定する必要があります。

Kaspersky Security Center Cloud コンソールで SIEM システムへのエクスポートを設定するには：

1. メインメニューで、目的の管理サーバーの名前の横にある設定アイコン（）をクリックします。

   管理サーバーのプロパティウィンドウの［全般］タブが表示されます。

2. ［SIEM］セクションに移動し、［設定］をクリックします。
3. 開いた右側のペインで、エクスポート設定を指定します。
   • ［SIEM システムサーバーアドレス］フィールドに、現在使用されている SIEM システムがインストールされているサーバーの IP アドレスを指定します。

     SIEM システム設定でこの値を確認してください。

   • ［SIEM システムのポート］フィールドで、Kaspersky Security Center Cloud コンソールと SIEM システムサーバー間の接続を確立するために使用するポート番号を指定します。

     Kaspersky Security Center Cloud コンソールの設定と SIEM システムのレシーバ設定でこの値を指定します。

   • ［プロトコル］リストでは、値が事前に選択されています。SIEM システムへのメッセージの送信には、TLS over TCP プロトコルのみ使用できます。
   • ［サーバー認証］ドロップダウンリストから、次のいずれかの項目を選択します：
     • ［信頼できる証明書］をクリックし、表示される［CA 証明書ファイルの参照］をクリックして、信頼できる証明書をアップロードします。

       信頼できる証明書認証局（CA）からルート証明書を含む完全な証明書チェーンを受け取り、そのファイルを受け取り、ファイルを Kaspersky Security Center Cloud コンソールにアップロードできます。Kaspersky Security Center Cloud コンソールは、SIEM システムサーバーの証明書チェーンも信頼できる CA によって署名されているかどうかを確認します。

     • ［SHA フィンガープリント］を選択し、［サムプリント］フィールドに SHA1 サムプリントを入力して、［追加］をクリックします。

       Kaspersky Security Center Cloud コンソールで、SIEM システムの完全な証明書チェーン（ルート証明書を含む）の SHA1 サムプリントを指定できます。

   • ［サブジェクト名 / サブジェクト代替名を追加する］をクリックします。

     リンクは、［サーバー認証］ドロップダウンリストで［信頼された証明書］項目を選択した場合にのみ表示されます。

     サブジェクト名は、証明書を受け取るドメインの名前です。SIEM システムサーバーのドメイン名が SIEM システムサーバー証明書のサブジェクト名と一致しない場合、Kaspersky Security Center Cloud コンソールは SIEM システムサーバーに接続できません。しかし、SIEM システムサーバーは証明書内で名前が変更された場合にドメイン名を変更することがあります。この場合、サブジェクト名を［サブジェクト名 / サブジェクト代替名］で指定することができます。指定されたサブジェクト名のいずれかが SIEM システム証明書のサブジェクト名と一致する場合、Kaspersky Security Center Cloud コンソールは SIEM システムサーバー証明書を検証します。

   • ［クライアント認証を追加する］をクリックし、［証明書がない場合は、作成できます］ドロップダウンリストで、次のいずれかを選択します：
     • Kaspersky Security Center Cloud コンソールで自己署名証明書を生成する場合は、［鍵を生成する］、［生成］をクリックします。Kaspersky Security Center Cloud コンソールは生成された自己署名証明書を保存し、証明書の公開部分または SHA-1 フィンガープリントを SIEM システムに渡すことができます。

       設定を使用して、Kaspersky Security Center Cloud コンソールを認証する証明書を生成することができます。このようにして、Kaspersky Security Center Cloud コンソールが発行した自己署名証明書を使用します。この場合、SIEM システムサーバーの認証に、信頼できる証明書と SHA フィンガープリントの両方を使用することができます。

     • ［証明書を挿入する］信頼できる CA など、どのソースから受け取った証明書でも使用できます。

       次に、次の手順に従って証明書とその秘密鍵を指定します：

       1. ［クライアント証明書］ドロップダウンリストで、証明書の種類を選択します：
          • X.509 証明書 PEM
          • X.509 証明書 PKCS12
       2. ［証明書のファイル］フィールドで、証明書付きのファイルをアップロードします。
       3. ［X.509 証明書 PEM］を選択した場合は、表示される［鍵のファイル］セクションで、秘密鍵を含むファイルをアップロードします。

          証明書を含むファイルと秘密鍵を含むファイルは相互に依存しておらず、ファイルの読み込み順序は重要ではありません。

       4. 秘密鍵がエンコードされている場合は、［パスワードまたは証明書の検証］フィールドでデコード用のパスワードを指定します。それ以外の場合は、フィールドを空のままにしておくことができます。
   • ［データ形式］セクションでは、［システムログ］の値が事前に選択されています。

     SIEM に送信されるメッセージの長さの制限は、［最大メッセージサイズ（バイト）］フィールドでのみ指定できます。制限を超えると、メッセージは切断されます。

4. 必要に応じて、管理サーバーデータベースからアーカイブイベントをエクスポートし、アーカイブイベントのエクスポートを開始する日付を設定できます：
   1. ［エクスポートの開始日を設定］をクリックします。
   2. 表示されたセクションの［エクスポートの開始日］に、開始日を指定します。
   3. ［OK］をクリックします。
5. オプションを［SIEM システムデータースへのイベントの自動エクスポートが［有効］です］に切り替えます。
6. SIEM システム接続が正常に設定されていることを確認するには、［接続の確認］をクリックします。

   接続のステータスが表示されます。

7. ［保存］をクリックします。

SIEM システムへのエクスポートが設定されました。これで、イベントの受信を SIEM システムで設定した場合は、マーキングされたイベントが管理サーバーから SIEM システムにエクスポートされます。エクスポートの開始日を設定した場合、管理サーバーは指定された日付からも管理サーバーデータベース内のマーキングされたイベントをエクスポートします。

関連項目： SIEM システムへのイベントのエクスポートの設定 SIEM システムでのイベントのエクスポートの設定

ページのトップに戻る