Soporte

Soporte para empresas

Kaspersky Embedded Systems Security 3.x

Registro de eventos. Registros de Kaspersky Embedded Systems Security

Configuración de las opciones de registro a través de la Consola de la aplicación

Acerca de la integración de SIEM

Kaspersky Embedded Systems Security 3.x
Нет результатов
Ayuda Online
FAQ Requisitos del sistema Descargar Foro Contactar Asistencia Instrumentos de recuperación Videos del producto

Acerca de la integración de SIEM

20 de febrero de 2023

ID 148502

Guardar como PDF

Para reducir la carga en dispositivos de rendimiento reducido y reducir el riesgo de la degradación del sistema como consecuencia del aumento en los tamaños de registros de la aplicación, puede configurar la publicación de eventos de auditoría y eventos de rendimiento de la tarea en el servidor syslog mediante el protocolo Syslog.

Un servidor syslog es un servidor externo para agregar eventos (SIEM). Almacena y analiza los eventos recibidos y realiza otras acciones de administración de registros.

Puede usar la integración de SIEM en dos modos:

  • Duplicar eventos en el servidor syslog: en este modo, todos los eventos de rendimiento de la tarea cuya publicación se establece en la configuración de registros, así como todos los eventos de auditoría del sistema, continúan almacenándose en el dispositivo protegido hasta después de que se envían al servidor SIEM.

    Recomendamos utilizar este modo para reducir todo lo posible la carga en el dispositivo protegido.

  • Eliminar copias locales de eventos: en este modo, todos los eventos que se registran durante el funcionamiento de la aplicación y se publican en el servidor SIEM se eliminan del dispositivo protegido.

    La aplicación nunca elimina las versiones locales del registro de seguridad.

Kaspersky Embedded Systems Security puede convertir eventos en los registros de la aplicación a formatos admitidos por el servidor syslog, de modo que dichos eventos se puedan transmitir y sean reconocidos de manera exitosa por el servidor SIEM. La aplicación admite la conversión al formato de datos estructurado y al formato JSON.

Recomendamos seleccionar el formato de eventos basados en la configuración del servidor SIEM utilizado.

Configuración de confiabilidad

Para reducir el riesgo de retransmisiones no exitosas de eventos al servidor SIEM, puede definir la configuración para realizar una conexión con un servidor syslog idéntico.

El servidor syslog idéntico es un servidor syslog adicional al cual la aplicación cambia automáticamente si la conexión con el servidor syslog principal no está disponible o si el servidor principal no se puede utilizar.

Kaspersky Embedded Systems Security también utiliza eventos de auditoría del sistema para notificarle sobre intentos fallidos de conexión al servidor SIEM y sobre errores al enviar eventos al servidor SIEM.

Kaspersky Professional Services
Implementation services. Health check and security system configuration. Contact us if you need expert help.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
¿El artículo le resultó útil?
¿En qué podemos mejorar?
¡Gracias por sus comentarios! Nos está ayudando a mejorar.
¡Gracias por sus comentarios! Nos está ayudando a mejorar.