Konfigurace publikování událostí aplikace do systému SIEM

Můžete nakonfigurovat publikování událostí ve formátu CEF do externího systému SIEM a také ukládat události místně do souborů protokolu na serveru.

Nastavení publikování událostí uložená v řídicím uzlu se rozšíří do všech uzlů v clusteru. Export událostí ve formátu CEF povolte až po konfiguraci publikování události.

Chcete-li publikovat události auditu, musíte také povolit protokolování událostí auditu v nastavení Protokol auditu.

Postup konfigurace publikování událostí aplikace do systému SIEM:

  1. V okně webového rozhraní aplikace vyberte část NastaveníExterní službyVzdálené protokolování.
  2. Pokud chcete používat protokolování na externím serveru, zapněte přepínač Použít vzdálené protokolování.
  3. V části Zařízení vyberte kategorie událostí, které se mají odesílat do systému SIEM. Možné kategorie:
    • Protokol auditu zabezpečení (authpriv)
    • Protokol událostí systémových služeb (daemon)
    • Protokol nástroje pro plánování úloh (cron)
    • Integrovaný protokol MTA (mail)
    • Protokol aplikace Kaspersky Secure Mail Gateway (local1)
    • Protokol aplikace Kaspersky Secure Mail Gateway ve formátu CEF (local2)

    Ve výchozím nastavení není vybrána žádná kategorie.

  4. Do pole FQDN nebo IP adresa zadejte adresu serveru SIEM. Jsou podporovány adresy IPv4 nebo IPv6.
  5. Do pole Port zadejte port pro připojení k systému SIEM. Možné hodnoty: 1 až 65535.

    Výchozí hodnoty: 601 pro TCP, 514 pro UDP, 6514 pro TCP přes TLS.

  6. V části Protokol vyberte protokol pro odesílání informací do systému SIEM. Možné hodnoty:
    • TCP
    • UDP
    • TCP over TLS

    Ve výchozím nastavení je vybrána možnost TCP over TLS.

  7. Pokud jste vybrali možnost TCP over TLS, v části Ověření vyberte metodu ověřování. Možné hodnoty:
    • Certifikát CA a FQDN

      Pole FQDN nebo IP adresa musí obsahovat adresu zadanou v certifikátu serveru.

    • Digitální otisk certifikátu serveru

    Výchozí hodnota je Certifikát CA a FQDN.

  8. Pokud jste vybrali ověřování Certifikát CA a FQDN, přidejte certifikát TLS pro šifrované připojení k systému SIEM. Chcete-li tak učinit, v části Certifikát CA klikněte na možnost Procházet, vyberte soubor certifikátu ve formátu PEM a klikněte na tlačítko Otevřít.

    Doporučujeme použít certifikát s délkou klíče RSA alespoň 4096 bitů nebo klíče ECDSA o délce alespoň 256 bitů.

  9. Pokud jste vybrali ověřování Digitální otisk certifikátu serveru, do pole Digitální otisk certifikátu serveru zadejte hodnotu otisku certifikátu externího serveru.

    V aplikaci KSMG v systému Rocky Linux doporučujeme používat digitální otisky SHA256.
    V aplikaci KSMG v systému RED OS doporučujeme používat digitální otisky SHA1.

  10. Klikněte na tlačítko Uložit.

Je nakonfigurováno publikování událostí aplikace do systému SIEM.

Pokud jste importovali certifikát TLS, po uložení nastavení protokolování se v poli Digitální otisk certifikátu zobrazuje digitální otisk certifikátu.

Certifikát si můžete stáhnout kliknutím na možnost Stáhnout.

Na začátek stránky