Configuración de las opciones de integración de SIEM
Para reducir la carga en dispositivos de rendimiento reducido y reducir el riesgo de la degradación del sistema como consecuencia del aumento en los tamaños de registros de la aplicación, puede configurar la publicación de eventos de auditoría y eventos de rendimiento de la tarea en el servidor syslog mediante el protocolo Syslog.
Un servidor syslog es un servidor externo para agregar eventos (SIEM). Almacena y analiza los eventos recibidos y realiza otras acciones de administración de registros.
Puede usar la integración de SIEM en dos modos:
- Duplicar eventos en el servidor syslog: en este modo, todos los eventos de rendimiento de la tarea cuya publicación se establece en la configuración de registros, así como todos los eventos de auditoría del sistema, continúan almacenándose en el dispositivo protegido hasta después de que se envían al servidor SIEM.
Recomendamos utilizar este modo para reducir todo lo posible la carga en el dispositivo protegido.
- Eliminar copias locales de eventos: en este modo, todos los eventos que se registran durante el funcionamiento de la aplicación y se publican en el servidor SIEM se eliminan del dispositivo protegido.
La aplicación nunca elimina las versiones locales del registro de seguridad.
Kaspersky Embedded Systems Security puede convertir eventos en los registros de la aplicación a formatos admitidos por el servidor syslog, de modo que dichos eventos se puedan transmitir y sean reconocidos de manera exitosa por el servidor SIEM. La aplicación admite la conversión al formato de datos estructurado y al formato JSON.
Para reducir el riesgo de retransmisiones no exitosas de eventos al servidor SIEM, puede definir la configuración para conectarse a un servidor reflejado de syslog.
El servidor syslog idéntico es un servidor syslog adicional al cual la aplicación cambia automáticamente si la conexión con el servidor syslog principal no está disponible o si el servidor principal no se puede utilizar.
De forma predeterminada, la integración de SIEM no se usa. Puede habilitar y deshabilitar la integración de SIEM y configurar las opciones correspondientes (consulte la tabla a continuación).
Configuración de integración de SIEM
Configuración | Valor predeterminado | Descripción |
|---|---|---|
Enviar eventos a un servidor remoto de Syslog, mediante el protocolo Syslog | No aplicado | Puede habilitar o deshabilitar la integración de SIEM al seleccionar o al desactivar la casilla, respectivamente. |
Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog | No aplicado | Puede ajustar la configuración para almacenar copias locales de registros después de que se envíen al servidor SIEM al seleccionar o al desactivar la casilla. |
Formato de los eventos | Datos estructurados | Puede seleccionar uno de dos formatos a los cuales la aplicación convierte sus eventos antes de enviarlos al servidor syslog para el mejor reconocimiento de estos eventos por el servidor SIEM. |
Protocolo de conexión | TCP | Puede usar la lista desplegable para configurar la conexión con el servidor syslog principal mediante protocolos TCP o UDP; o con el servidor syslog idéntico mediante el protocolo TCP. |
Configuración de conexión al servidor syslog principal | Dirección IP: 127.0.0.1 Puerto: 514 | Puede usar los campos apropiados para configurar la dirección IP y el puerto usados para conectarse al servidor syslog principal. Puede especificar la dirección IP solo en el formato IPv4. |
Utilice el servidor reflejado de Syslog si no es posible acceder al servidor principal | No aplicado | Puede usar la casilla para habilitar o deshabilitar el uso de un servidor syslog idéntico. |
Configuración de conexión al servidor syslog idéntico | Dirección IP: 127.0.0.1 Puerto: 514 | Puede usar los campos apropiados para configurar la dirección IP y el puerto usados para conectarse al servidor reflejado de Syslog. Puede especificar la dirección IP solo en el formato IPv4. |
Para configurar la integración de SIEM:
- Expanda el nodo Dispositivos administrados en el árbol de la Consola de administración de Kaspersky Security Center.
- Seleccione el grupo de administración para el cual desea ajustar la configuración de la aplicación.
- En el panel de detalles del grupo de administración seleccionado, realice una de las siguientes acciones:
- Para establecer la configuración de la aplicación para un grupo de dispositivos protegidos, seleccione la pestaña Directivas y abra la ventana Propiedades: <Nombre de la directiva>.
- Para configurar la aplicación para un solo dispositivo protegido, seleccione la pestaña Dispositivos y abra la ventana Configuración de la aplicación.
Si se aplica una directiva activa de Kaspersky Security Center a un dispositivo y se bloquean así los cambios de la configuración de la aplicación, esta configuración no puede editarse en la ventana Configuración de la aplicación.
- En la sección Registros y notificaciones, haga clic en el botón Configuración en la subsección Registros de tareas.
Se abre la ventana Configuración de registros y notificaciones.
- Seleccione la pestaña Integración de SIEM.
- En la sección Ajustes de integración, seleccione la casilla de verificación Enviar eventos a un servidor remoto de Syslog, mediante el protocolo Syslog.
- Si es necesario, en la sección Ajustes de integración, seleccione la casilla Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog.
El estado de la casilla Eliminar las copias locales de los eventos que se enviaron a un servidor remoto de Syslog no afecta la configuración para almacenar eventos del registro de seguridad: la aplicación nunca elimina automáticamente eventos del registro de seguridad.
- En la sección Formato de los eventos, especifique el formato al cual desea convertir los eventos de la aplicación de modo que se puedan enviar al servidor SIEM.
De forma predeterminada, la aplicación los convierte en un formato de datos estructurado.
- En la sección Configuración de conexión:
- Especifique el protocolo de conexión de SIEM.
- Especifique la configuración para conectarse al servidor syslog principal.
Solo puede especificar una dirección IP en formato IPv4.
- Seleccione la casilla Utilice el servidor reflejado de Syslog si no es posible acceder al servidor principal si desea que la aplicación use otra configuración de conexión cuando sea incapaz de enviar eventos al servidor syslog principal.
Especifique la siguiente configuración para conectarse al servidor syslog idéntico: Dirección y Puerto.
Los campos Dirección y Puerto para el servidor reflejado de syslog no pueden editarse si se desactiva la casilla Utilice el servidor reflejado de Syslog si no es posible acceder al servidor principal.
Solo puede especificar una dirección IP en formato IPv4.
- Haga clic en Aceptar.
La configuración de integración de SIEM establecida se aplicará.