Содержание

Настройка интеграции с SIEM-системой

Настройка интеграции с SIEM-системой

Kaspersky Anti Targeted Attack Platform может публиковать информацию о действиях пользователей в веб-интерфейсе приложения и обнаружениях в

SIEM-систему
Система Security Information and Event Management. Решение для управления информацией и событиями в системе безопасности организации.

, которая уже используется в вашей организации, по протоколу

Syslog

Для передачи данных вы можете использовать

TLS-шифрование

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с внешней системой одним из следующих способов:

Использовать функцию Round Robin.
Настроить параметры внешней системы, чтобы при возникновении сетевой ошибки внешняя система переключалась между IP-адресами серверов кластера.

Чтобы настроить отказоустойчивую интеграцию с внешней системой с помощью функции Round Robin:

Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
В параметрах почтового сервера укажите это доменное имя.

Интеграция с почтовым сервером будет настроена по доменному имени. Почтовый сервер обратится к случайному серверу кластера. При отказе этого сервера почтовый сервер будет обращаться к другому работоспособному серверу кластера.

В этом разделе

Включение и отключение записи информации в удаленный журнал

Настройка основных параметров интеграции с SIEM-системой

Загрузка TLS-сертификата

Включение и отключение TLS-шифрования соединения с SIEM-системой

Содержание и свойства syslog-сообщений об обнаружениях

В начало

Включение и отключение записи информации в удаленный журнал

Вы можете настроить запись информации о действиях пользователей в веб-интерфейсе и обнаружениях в удаленный журнал. Файл журнала хранится на сервере, на котором установлена SIEM-система. Для записи в удаленный журнал необходимо настроить параметры интеграции с SIEM-системой.

Чтобы включить или отключить запись информации о действиях пользователей в веб-интерфейсе и обнаружениях в удаленный журнал:

В окне веб-интерфейса приложения выберите раздел Параметры, подраздел SIEM-система.
Если вы хотите включить / отключить запись информации о действиях пользователей в веб-интерфейсе в удаленный журнал, выполните одно из следующих действий:
- Если вы хотите включить запись информации о действиях пользователей в веб-интерфейсе, установите флажок Журнал активности.
- Если вы хотите отключить запись информации о действиях пользователей в веб-интерфейсе, снимите флажок Журнал активности.
Если вы хотите включить / отключить запись информации об обнаружениях в удаленный журнал, выполните одно из следующих действий:
- Если вы хотите включить запись информации об обнаружениях, установите флажок Обнаружения.
- Если вы хотите отключить запись информации об обнаружениях, снимите флажок Обнаружения.
Вы можете установить оба флажка одновременно.
Нажмите на кнопку Применить в нижней части окна.

Запись информации в удаленный журнал будет включена или отключена.

Пользователи с ролью Аудитор могут только просматривать информацию о настройках записи в удаленный журнал.

В начало

Настройка основных параметров интеграции с SIEM-системой

Чтобы настроить основные параметры интеграции с SIEM-системой:

В окне веб-интерфейса приложения выберите раздел Параметры, подраздел SIEM-система.
Установите флажки Журнал активности и / или Обнаружения.
Вы можете установить один из флажков или оба флажка одновременно.
В поле Хост/IP введите IP-адрес или имя хоста сервера вашей SIEM-системы.
В поле Порт введите номер порта подключения к вашей SIEM-системе.
В поле Протокол выберите TCP или UDP.
В поле ID хоста укажите идентификатор хоста. Хост с этим идентификатором в журнале SIEM-системы будет указан как источник обнаружения.
В поле Периодичность сигнала введите интервал отправки сообщений в SIEM-систему.
Нажмите на кнопку Применить в нижней части окна.

Основные параметры интеграции с SIEM-системой будут настроены.

Пользователи с ролью Аудитор могут только просматривать информацию о настройках интеграции с SIEM-системой.

В начало

Загрузка TLS-сертификата

Чтобы загрузить TLS-сертификат для шифрования соединения с SIEM-системой:

В окне веб-интерфейса приложения выберите раздел Параметры, подраздел SIEM-система.
В разделе TLS-шифрование нажмите на кнопку Загрузить.
Откроется окно выбора файлов.
Выберите файл TLS-сертификата, который вы хотите загрузить, и нажмите на кнопку Открыть.
Окно выбора файлов закроется.

TLS-сертификат будет добавлен в приложение.
Нажмите на кнопку Применить в нижней части окна.

Загруженный TLS-сертификат будет использоваться для шифрования соединения с SIEM-системой.

В начало

Включение и отключение TLS-шифрования соединения с SIEM-системой

Чтобы включить или отключить TLS-шифрование соединения с SIEM-системой:

В окне веб-интерфейса приложения выберите раздел Параметры, подраздел SIEM-система.
Установите флажки Журнал активности и / или Обнаружения.
Вы можете установить один из флажков или оба флажка одновременно.
В разделе TLS-шифрование выполните одно из следующих действий:
- Включите переключатель рядом с названием параметра TLS-шифрование, если вы хотите включить TLS-шифрование соединения с SIEM-системой.
- Выключите переключатель рядом с названием параметра TLS-шифрование, если вы хотите отключить TLS-шифрование соединения с SIEM-системой.
Переключатель рядом с названием параметра TLS-шифрование доступен, только если загружен TLS-сертификат.
Нажмите на кнопку Применить в нижней части окна.

TLS-шифрование соединения с SIEM-системой будет включено или отключено.

В начало

Содержание и свойства syslog-сообщений об обнаружениях

Информация о каждом обнаружении передается в отдельной syslog-категории (syslog facility), не использующейся системой для передачи сообщений от других источников. Информация о каждом обнаружении передается как отдельное syslog-сообщение формата CEF. Если обнаружение выполнено модулем Targeted Attack Analyzer, то информация о нем передается как несколько отдельных syslog-сообщений формата CEF.

Максимальный размер syslog-сообщения об обнаружении по умолчанию составляет 32 Кб. Сообщения, превышающие максимальный размер, обрываются в конце.

В заголовке каждого syslog-сообщения об обнаружении содержится следующая информация:

Версия формата.
Номер текущей версии: 0. Текущее значение поля: CEF:0.
Производитель.
Текущее значение поля: AO Kaspersky Lab.
Название приложения.
Текущее значение поля: Kaspersky Anti Targeted Attack Platform.
Версия приложения.
Текущее значение поля: 6.0.0-200.
Тип обнаружения.
См. таблицу ниже.
Наименование события.
См. таблицу ниже.
Важность обнаружения.
Допустимые значения поля: Low, Medium, High или 0 (для сообщений типа heartbeat).
Дополнительная информация.

Пример:

CEF:0|AO Kaspersky Lab| Kaspersky Anti Targeted Attack Platform |6.0.0-200|url_web| URL from web detected|Low|

Тело syslog-сообщения об обнаружении соответствует информации об этом обнаружении, отображающейся в веб-интерфейсе приложения. Все поля представлены в формате "<ключ>=<значение>". В зависимости от того, в сетевом или почтовом трафике произошло обнаружение, а также от технологии, которая выполнила обнаружение, в теле syslog-сообщения могут передаваться разные ключи. Если значение пустое, то ключ не передается.

Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация об обнаружении в syslog-сообщениях

Тип обнаружения	Наименование и описание обнаружения	Ключ и описание его значения
`file_web`	`File from web detected` В сетевом трафике обнаружен файл.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `dst` = <IP-адрес назначения>. `dpt` = <порт назначения>. `src` = <IP-адрес источника>. `spt` = <порт источника>. `shost` = <имя хоста, на котором обнаружен файл>. `suser` = <имя пользователя>. `fName` = <имя файла внутри составного объекта>. `fsize` = <размер файла внутри составного объекта (в байтах)>. `fileType` = <формат файла внутри составного объекта>. `fileHash` = <MD5-хеш файла внутри составного объекта >. `KasperskyLabKATAcompositeFilePath` = <имя составного объекта>. `KasperskyLabKATAcompositeFileSize` = <общий размер составного объекта (в байтах)>. `KasperskyLabKATAcompositeFileHash` = <MD5-хеш составного объекта>. `KasperskyLabKATAfileSHA256` = <SHA256-хеш составного объекта>. `cs2` = <технология, с помощью которой обнаружен файл>. `cs3Label` = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox). `cs1` = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">. `cs3` = <версия баз, с помощью которых проверен файл>. `app` = <название протокола прикладного уровня> (HTTP(S) или FTP). `requestMethod` = <метод HTTP-запроса> (только для протокола HTTP(S)). `requestClientApplication` = <User Agent клиентского компьютера> (только для протокола HTTP(S)). `request` = <URL обнаруженного объекта> (только для протокола HTTP(S)). `requestContext` = <HTTP-заголовок Referer> (только для протокола HTTP(S)).
`file_mail`	`File from mail detected` В почтовом трафике обнаружен файл.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `fName` = <имя файла внутри составного объекта>. `fsize` = <размер файла внутри составного объекта (в байтах)>. `fileType` = <формат файла внутри составного объекта >. `fileHash` = <MD5-хеш файла внутри составного объекта >. `KasperskyLabKATAcompositeFilePath` = <имя составного объекта>. `KasperskyLabKATAcompositeFileSize` = <общий размер составного объекта (в байтах)>. `KasperskyLabKATAcompositeFileHash` = <MD5-хеш составного объекта>. `KasperskyLabKATAfileSHA256` = <SHA256-хеш составного объекта>. `KasperskyLabKATAmailEnvelopeFrom` = <адрес электронной почты отправителя> (из заголовка Received). `KasperskyLabKATAmailFor` = <адрес электронной почты получателя> (из заголовка Received). `KasperskyLabKATAmailRecievedFromIp` = <IP-адрес первого в цепочке отправки сообщения сервера> (из заголовка Received). `cs2` = <технология, с помощью которой обнаружен файл>. `cs3Label` = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox). `cs1` = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">. `cs3` = <версия баз, с помощью которых проверен файл>. `externalId` = <ID сообщения электронной почты>. `suser` = <адрес электронной почты отправителя>. `duser` = <адреса электронной почты получателей>. `msg` = <тема сообщения>.
`ids`	`IDS event detected` Обнаружение выполнено модулем Intrusion Detection System.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `requestMethod` = <метод HTTP-запроса> (только для протокола HTTP(S)). `requestClientApplication` = <User Agent клиентского компьютера> (только для протокола HTTP(S)). `rt` = <дата и время обнаружения>. `dst` = <IP-адрес назначения>. `dpt` = <порт назначения>. `src` = <IP-адрес источника>. `spt` = <порт источника>. `proto` = <название протокола сетевого уровня> (TCP или UDP). `cs1` = <тип обнаруженного объекта по классификации "Лаборатории Касперского">. `cs2Label` = <название правила IDS>. `cs2` = <номер правила IDS>. `cs3` = <версия баз модуля Intrusion Detection System>. `requestMethod` = <метод HTTP-запроса> (только для протокола HTTP). `requestClientApplication` = <User Agent клиентского компьютера> (только для протокола HTTP). `request` = <URL обнаруженного объекта>.
`url_web`	`URL from web detected` Обнаружение выполнено технологией URL Reputation или Sandbox в сетевом трафике.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `dst` = <IP-адрес назначения>. `dpt` = <порт назначения>. `src` = <IP-адрес источника>. `spt` = <порт источника>. `shost` = <имя хоста, на котором обнаружен файл>. `suser` = <имя пользователя>. `cs1` = <список категорий, к которым принадлежит URL-адрес обнаруженного объекта>. `requestMethod` = <метод HTTP-запроса>. `requestClientApplication` = <User Agent клиентского компьютера>. `request` = <URL-адрес обнаруженного объекта>. `requestContext` = <HTTP-заголовок Referer>. `reason` = <код HTTP-ответа>.
`url_mail`	`URL from mail detected` Обнаружение выполнено технологией URL Reputation или Sandbox в почтовом трафике.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `externalId` = <ID сообщения электронной почты>. `suser` = <адрес электронной почты отправителя>. `duser` = <адреса электронной почты получателей>. `KasperskyLabKATAmailEnvelopeFrom` = <адрес электронной почты отправителя> (из заголовка Received). `KasperskyLabKATAmailFor` = <адрес получателя> (из заголовка Received). `KasperskyLabKATAmailRecievedFromIp` = <IP-адрес первого в цепочке отправки сообщения сервера> (из заголовка Received). `msg` = <тема сообщения>. `request` = <URL-адрес обнаруженного объекта>. `cs2` = <технология, с помощью которой выполнено обнаружение> (Sandbox или URL Reputation). `cs3Label` = <имя виртуальной машины, на которой обнаружен файл> (только для Sandbox). `cs1` = <список типов обнаруженных объектов по классификации "Лаборатории Касперского"> (для Sandbox) или <список категорий> (для URL Reputation). `cs3` = <версия баз, с помощью которых проверен файл> (только для Sandbox).
`dns`	`DNS request detected` Обнаружение выполнено технологией URL Reputation в DNS-трафике.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `dst` = <IP-адрес назначения>. `dpt` = <порт назначения>. `src` = <IP-адрес источника>. `spt` = <порт источника>. `shost` = <имя хоста, на котором обнаружен файл>. `suser` = <имя пользователя>. `cs2` = <список URL-категорий, к которым принадлежат доменные имена>. `requestMethod` = <тип DNS-сообщения> (request или response). `flexString1` = <тип записи из DNS-запроса>. `dhost` = <имя хоста из DNS-запроса>. `cs1` = <список доменных имен из DNS-ответа>.
`file_endpoint`	`File from endpoint detected` Обнаружение выполнено компонентом Endpoint Agent на хосте пользователя и содержит файл.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `src` = <IP-адрес источника>. `shost` = <имя хоста, на котором обнаружен файл>. `fName` = <имя файла внутри составного объекта>. `fsize` = <размер файла внутри составного объекта (в байтах)>. `fileType` = <формат файла внутри составного объекта >. `fileHash` = <MD5-хеш файла внутри составного объекта >. `KasperskyLabKATAcompositeFilePath` = <имя составного объекта>. `KasperskyLabKATAcompositeFileSize` = <общий размер составного объекта (в байтах)>. `KasperskyLabKATAcompositeFileHash` = <MD5-хеш составного объекта>. `KasperskyLabKATAfileSHA256` = <SHA256-хеш составного объекта>. `cs2` = <технология, с помощью которой обнаружен файл>. `cs3Label` = <имя виртуальной машины, на которой обнаружен файл> (только для компонента Sandbox). `cs1` = <список типов обнаруженных объектов по классификации "Лаборатории Касперского">. `cs3` = <версия баз, с помощью которых проверен файл>. `app` = <название протокола прикладного уровня> (HTTP(S) или FTP). `FilePath` = <путь к файлу на компьютере с компонентом Endpoint Sensors>.
`iocScanning`	`IOC has tripped on endpoint` Обнаружение выполнено в результате IOC-проверки хостов с компонентом Endpoint Agent для Windows. Этот тип обнаружений доступен, если вы используете функциональность KEDR.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `src` = <IP-адрес источника>. `shost` = <имя хоста, на котором обнаружен файл>. `cs1` = <имя IOC-файла, по которому выполнено обнаружение>.
`taaScanning`	`TAA has tripped on events database` Обнаружение выполнено в результате IOA-анализа событий. Этот тип обнаружений доступен, если вы используете функциональность KEDR.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `shost` = <имя хоста, на котором выполнено обнаружение>. `cs1` = <имя IOA-правила, по которому выполнено обнаружение>.
`yaraScanningEP`	`YARA has tripped on endpoint` Обнаружение выполнено в результате YARA-проверки хостов с компонентом Endpoint Agent для Windows. Этот тип обнаружений доступен, если вы используете функциональность KEDR.	`dvchost` = <имя сервера с компонентом Central Node>. `eventId` = <ID обнаружения>. `rt` = <дата и время обнаружения>. `src` = <IP-адрес источника>. `shost` = <имя хоста, на котором выполнено обнаружение>. `cs1` = <имя YARA-правила, по которому выполнено обнаружение>.
`heartbeat`	Периодическое сообщение, содержащее статус компонентов.	`dvchost` = <имя сервера с компонентом Central Node>. `rt` = <дата и время события>. `KasperskyLabKATAcomponentName` = <название компонента>. `KasperskyLabKATAcomponentState` = <статус компонента> (`0` – ОК, `>0` – Ошибка).

В начало