Configurando a publicação de eventos de aplicativo para um sistema SIEM

Você pode configurar a publicação de eventos no formato CEF para um sistema SIEM externo, e salvar os eventos localmente em arquivos de log no servidor.

As configurações de publicação de eventos salvas no node Controle são propagadas para todos os nodes no cluster. Ative a exportação de eventos no formato CEF somente depois de configurar a publicação de eventos.

Para publicar eventos de auditoria, você também deve ativar o registro de eventos de auditoria nas configurações do log de auditoria.

Para configurar a publicação de eventos de aplicativo em um sistema SIEM:

  1. Na janela da interface da web do aplicativo, selecione a seção ConfiguraçõesServiços externosLog remoto.
  2. Se você quiser usar o registro em um servidor externo, ative o alternante Usar log remoto.
  3. Em Unidade física, selecione as categorias de evento a serem enviadas ao sistema SIEM. Categorias possíveis:
    • Log de auditoria de segurança (authpriv)
    • Log de evento de serviços do sistema (daemon)
    • Log de agendador de tarefa (cron)
    • Log MTA integrado (mail)
    • Log Kaspersky Secure Mail Gateway (local1)
    • Log do Kaspersky Secure Mail Gateway no formato CEF (local2)

    Por padrão, nenhuma categoria é selecionada.

  4. No campo FQDN ou endereço IP, insira o endereço do servidor SIEM. Os endereços IPv4 ou IPv6 são compatíveis.
  5. No campo Porta, insira a porta usada para conectar-se ao sistema SIEM. Valores possíveis: 1 a 65535.

    Valores padrão: 601 para TCP, 514 para UDP, 6514 para TCP sobre TLS.

  6. Em Protocolo, selecione o protocolo para enviar informações ao sistema SIEM. Valores possíveis:
    • TCP
    • UDP
    • TCP sobre TLS

    Por padrão, TCP sobre TLS é selecionado.

  7. Se você selecionou TCP sobre TLS, em Autenticação, selecione um método de autenticação. Valores possíveis:
    • Certificado CA e FQDN

      O campo FQDN ou endereço IP deve conter o endereço especificado no certificado do servidor.

    • Impressão digital do certificado do servidor

    O valor padrão é Certificado CA e FQDN.

  8. Se você selecionou a autenticação Certificado CA e FQDN, adicione um certificado TLS para a conexão criptografada ao sistema SIEM. Para isso, em Certificado CA, clique em Selecionar arquivo, selecione o arquivo de certificado no formato PEM e clique em Abrir.

    Recomendamos usar um certificado com um comprimento de chave RSA de pelo menos 4096 bits ou um comprimento de chave ECDSA de pelo menos 256 bits.

  9. Se você selecionou a autenticação Impressão digital do certificado do servidor, no campo Impressão digital do certificado do servidor, insira o valor da impressão digital do certificado do servidor externo.

    No KSMG no Rocky Linux, recomendamos usar as impressões digitais SHA256.
    No KSMG no RED OS, recomendamos usar as impressões digitais SHA1.

  10. Clique em Salvar.

A publicação dos eventos do aplicativo para o sistema SIEM será configurada.

Se você importou um certificado TLS, depois de salvar as configurações de registro, o campo Impressão digital do certificado exibe a impressão digital do certificado.

Você pode baixar o certificado clicando em Baixar.

Topo da página