Настройка пересылки событий из FortiSIEM
11 апреля 2024
ID 181634
В этом разделе описывается порядок настройки пересылки событий из FortiSIEM в Kaspersky CyberTrace.
Чтобы настроить пересылку событий из FortiSIEM в CyberTrace, выполните следующие действия:
- Откройте веб-консоль FortiSIEM.
Используемая учетная запись FortiSIEM должна иметь права администратора.
- Выберите Admin > General Settings > Event Handling > Forwarding > New.
Создание нового правила пересылки
Откроется окно Event Forwarding Rule.
- Задайте параметры пересылки событий:
- В поле Reporting Device укажите устройства, с которых необходимо пересылать события в Kaspersky CyberTrace. Можно выбрать вариант All, чтобы указать, что события с каждого устройства должны пересылаться в Kaspersky CyberTrace.
- Для выбора других вариантов нажмите на стрелку вниз, чтобы открыть окно Event Dropping Rule > Select Reporting Devices, и выберите нужные значения на панелях Folders, Items и Selections.
Поле Reporting Device не должно быть пустым.
- В поле Event type укажите типы событий, которые необходимо пересылать в Kaspersky CyberTrace. Можно выбрать вариант All, чтобы указать, что события каждого типа должны пересылаться в Kaspersky CyberTrace.
- Для выбора других вариантов нажмите на стрелку вниз, чтобы открыть окно Event Forwarding Rule > Select Event Types, и выберите нужные значения на панелях Folders, Items и Selections.
Выбор типов событий
Поле Event type не должно быть пустым.
- В поле Traffic Type выберите Syslog.
- В поле Source IP можно указать значение, которое должно присутствовать во всех пересылаемых событиях в соответствующем поле.
- В поле Destination IP можно указать значение, которое должно присутствовать во всех пересылаемых событиях в соответствующем поле.
- В полях Severity можно указать желаемую важность событий.
- В поле Regex Filter можно указать регулярное выражение, которому должны соответствовать пересылаемые события.
- В поле Forwarding Protocol выберите TCP.
- В поле Forwarding to IP укажите IP-адрес сервера, на котором выполняется Kaspersky CyberTrace.
Этот IP-адрес указывается в элементе
InputSettings > ConnectionString
файла конфигурации kl_feed_service.conf. - В поле Forwarding to Port укажите порт сервера, на котором выполняется Kaspersky CyberTrace.
Этот порт указывается в элементе
InputSettings > ConnectionString
файла конфигурации kl_feed_service.conf. - В поле Format выберите CEF.
Окно Event Forwarding Rule
- В поле Reporting Device укажите устройства, с которых необходимо пересылать события в Kaspersky CyberTrace. Можно выбрать вариант All, чтобы указать, что события с каждого устройства должны пересылаться в Kaspersky CyberTrace.
- Нажмите на кнопку Save.
Окно Event Forwarding Rule закроется, а в окне Forwarding отобразится новое правило пересылки событий.
- В окне Forwarding выберите Enable для нового правила пересылки событий.
Окно Event Forwarding Rule