Экспорт событий в SIEM-системы

В этом разделе описана процедура экспорта событий, зарегистрированных в Kaspersky Security Center, во внешние системы управления событиями информационной безопасности (SIEM-системы, Security Information and Event Management).

Настройка экспорта событий в SIEM-системы

Kaspersky Security Center позволяет выполнять настройку одним из способов: экспорт в любую SIEM-систему, использующую формат Syslog, экспорт в QRadar, Splunk, ArcSight SIEM-системы, использующие форматы LEEF и CEF, или экспорт событий в SIEM-системы прямо из базы Kaspersky Security Center. По завершении этого сценария Сервер администрирования автоматически отправляет события в SIEM-систему.

Предварительные требования

Перед началом настройки экспорта событий в Kaspersky Security Center:

• Узнайте больше о методах экспорта событий.
• Убедитесь, что у вас есть значения системных параметров.

Вы можете выполнять шаги этого сценария в любом порядке.

Процесс экспорта событий в SIEM-систему состоит из следующих шагов:

• Настройка SIEM-системы для получения событий из Kaspersky Security Center

  Инструкции: Настройка экспорта событий в SIEM-системе.

• Выбор события, которые вы хотите экспортировать в SIEM-систему:

  Инструкции:

  • Консоль администрирования: Выбор событий программ "Лаборатории Касперского" для экспорта в формате Syslog, Выбор общих событий для экспорта в формате Syslog.
  • Kaspersky Security Center Web Console: Выбор событий программ "Лаборатории Касперского" для экспорта в формате Syslog, Выбор общих событий для экспорта в формате Syslog.
• Настройка экспорта событий в SIEM-систему одним из следующих способов:
  • Укажите протоколы TCP/IP, UDP или TLS over TCP.

    Инструкции:

    • Консоль администрирования: Настройка экспорта событий в SIEM-системы.
    • Kaspersky Security Center Web Console: Настройка экспорта событий в SIEM-системы.
  • Использование экспорта событий напрямую из базы данных Kaspersky Security Center. В базе данных Kaspersky Security Center представлен набор публичных представлений; вы можете найти описание этих общедоступных представлений в документе klakdb.chm.

Результаты

После настройки экспорта событий в SIEM-систему вы можете просматривать результаты экспорта, если вы выбрали события, которые хотите экспортировать.

Предварительные условия

Развернуть все | Свернуть все

При настройке автоматического экспорта событий в Kaspersky Security Center необходимо указать некоторые параметры SIEM-системы. Рекомендуется уточнить эти параметры заранее, чтобы подготовиться к настройке Kaspersky Security Center.

Для настройки автоматического экспорта событий в SIEM-систему необходимо знать значения следующих параметров:

• Адрес сервера SIEM-системы

  Адрес сервера, на котором установлена используемая SIEM-система. Это значение необходимо уточнить в настройках SIEM-системы.

• Порт сервера SIEM-системы

  Номер порта, по которому будет установлено соединение между Kaspersky Security Center и сервером SIEM-системы. Это значение необходимо указать в настройках Kaspersky Security Center и настройках приемника в SIEM-системе.

• Протокол

  Протокол, используемый для передачи сообщений из Kaspersky Security Center в SIEM-систему. Это значение необходимо указать в настройках Kaspersky Security Center и настройках приемника в SIEM-системе.

О событиях в Kaspersky Security Center

Kaspersky Security Center позволяет получать информацию о событиях, произошедших в процессе работы Сервера администрирования и программ "Лаборатории Касперского", установленных на управляемых устройствах. Информация о событиях сохраняется в базе данных Сервера администрирования. Вы можете экспортировать эту информацию во внешние SIEM-системы. Экспорт информации о событиях во внешние SIEM-системы позволяет администраторам SIEM-систем оперативно реагировать на события системы безопасности, произошедшие на управляемых устройствах или группах администрирования.

Типы событий

В Kaspersky Security Center существуют следующие типы уведомлений:

• Общие события. Эти события возникают во всех управляемых программах "Лаборатории Касперского". Например, общее событие Вирусная атака. Общие события имеют строго определенные синтаксис и семантику. Общие события используются, например, в отчетах и панели мониторинга.
• Специфические события управляемых программ "Лаборатории Касперского". Каждая управляемая программа "Лаборатории Касперского" имеет собственный набор событий.

Источники событий

События могут генерироваться следующими программами:

• Компонентами программы Kaspersky Security Center:
  • Сервер администрирования
  • Агент администрирования
  • Сервер iOS MDM
  • Сервер мобильных устройств Exchange ActiveSync
• Управляемые программы "Лаборатории Касперского"

  Подробнее о событиях, генерируемых управляемыми программами "Лаборатории Касперского", см. в документации соответствующей программы.

Просмотреть полный список событий, которые может генерировать программа, можно на закладке Настройка событий в свойствах политики программы. Для Сервера администрирования можно дополнительно просмотреть список событий в свойствах Сервера администрирования.

Уровень важности события

Каждое событие имеет собственный уровень важности. В зависимости от условий возникновения, событию могут быть присвоены различные уровни важности. Существует четыре уровня важности событий:

• Критическое событие – событие, указывающее на возникновение критической проблемы, которая может привести к потере данных, сбою в работе или критической ошибке.
• Отказ функционирования – событие, указывающее на возникновение серьезной проблемы, ошибки или сбоя, произошедшего во время работы программы или выполнения процедуры.
• Предупреждение – событие, не обязательно являющееся серьезным, однако указывающее на возможное возникновение проблемы в будущем. Чаще всего события относятся к Предупреждениям, если после их возникновения работа программы может быть восстановлена без потери данных или функциональных возможностей.
• Информационное сообщение – событие, возникающее с целью информирования об успешном выполнении операции, корректной работе программы или завершении процедуры.

Для каждого события задано время хранения, которое можно посмотреть или изменить в Kaspersky Security Center. Некоторые события не сохраняются в базе данных Сервера администрирования по умолчанию, поскольку для них установленное время хранения равно нулю. Во внешние системы можно экспортировать только те события, которые хранятся в базе данных Сервера администрирования не менее одного дня.

Об экспорте событий

Вы можете использовать экспорт событий в централизованных системах, работающих с вопросами безопасности на организационном и техническом уровнях, обеспечивающих мониторинг систем безопасности и консолидирующих данные из различных решений. К ним относятся SIEM-системы, обеспечивающие анализ предупреждений систем безопасности и событий сетевого аппаратного обеспечения и приложений в режиме реального времени, а также центры управления безопасностью (Security Operation Center, SOC).

SIEM-системы получают данные из многих источников, включая сети, системы безопасности, серверы, базы данных и приложения. Они также обеспечивают функцию объединения обработанных данных, что не позволит вам пропустить критические события. Кроме того, эти системы выполняют автоматический анализ связанных событий и сигналов тревоги для уведомления администраторов о вопросах системы безопасности, требующих незамедлительного решения. Уведомления могут отображаться на панели индикаторов или рассылаться по сторонним каналам, например, по электронной почте.

В процедуре экспорта событий из Kaspersky Security Center во внешние SIEM-системы участвуют две стороны: отправитель событий – Kaspersky Security Center и получатель событий – SIEM-система. Для успешного экспорта событий необходимо выполнить настройки и в используемой SIEM-системе, и в Консоли администрирования Kaspersky Security Center. Последовательность настройки не имеет значения: Вы можете либо сначала настроить отправку событий в Kaspersky Security Center, а затем получение событий в SIEM-системе, либо наоборот.

Способы отправки событий из Kaspersky Security Center

Существует три способа отправки событий из Kaspersky Security Center во внешние системы:

• Отправка событий по протоколу Syslog в любую SIEM-систему.

  По протоколу Syslog можно передавать любые события, произошедшие на Сервере администрирования Kaspersky Security Center и в программах "Лаборатории Касперского", установленных на управляемых устройствах. Протокол Syslog – это стандартный протокол регистрации сообщений. Вы можете использовать этот протокол для экспорта событий в любую SIEM-систему.

  Для этого нужно отметить события, которые вы хотите передать в SIEM-систему. Вы можете отметить события с помощью Консоли администрирования или Kaspersky Security Center Web Console). Только отмеченные события будут передаваться в SIEM-систему. Если вы ничего не отметили, никакие события не будут передаваться.

• Отправка событий по протоколам CEF и LEEF в системы QRadar, Splunk и ArcSight.

  Протоколы CEF и LEEF можно использовать для экспорта общих событий. При экспорте событий по протоколам CEF и LEEF у вас нет возможности выбора определенных экспортируемых событий. Вместо этого выполняется экспорт всех общих событий. Чтобы конвертировать события Kaspersky Security Center в события формата CEF и LEEF, вы можете использовать файл siem_conversion_rules.xml. Этот файл содержит список атрибутов событий Kaspersky Security Center и соответствующие атрибуты событий в формате CEF и LEEF. Также файл siem_conversion_rules.xml содержит правила генерации сообщений, соответствующих событиям. Этот файл входит в комплект поставки Kaspersky Security Center.

  В отличие от протокола Syslog, протоколы CEF и LEEF не являются универсальными. Протоколы CEF и LEEF предназначены для соответствующих SIEM-систем (QRadar, Splunk и ArcSight). Поэтому при выборе экспорта событий по одному из этих протоколов в SIEM-системе используется нужный анализатор.

• Напрямую из базы данных Kaspersky Security Center в любую SIEM-систему.

  Этот способ экспорта событий можно использовать для получения событий напрямую из публичных представлений базы данных с помощью SQL-запросов. Результаты выполнения запроса сохраняются в .xml файл, который можно использовать в качестве входных данных для внешней системы. Напрямую из базы данных можно экспортировать только события, доступные в публичных представлениях.

Получение событий SIEM-системой

SIEM-система должна принимать и корректно анализировать события, получаемые из Kaspersky Security Center. Для этого необходимо выполнить настройку SIEM-системы. Конфигурация зависит от конкретной используемой SIEM-системы. Однако в конфигурациях всех SIEM-систем существует ряд общих этапов, таких как настройка приемника и анализатора.

О настройке экспорта событий в SIEM-системе

Развернуть все | Свернуть все

В процедуре экспорта событий из Kaspersky Security Center во внешние SIEM-системы участвуют две стороны: отправитель событий – Kaspersky Security Center и получатель событий – SIEM-система. Экспорт событий необходимо настроить в используемой SIEM-системе и в Kaspersky Security Center.

Настройки, выполняемые в SIEM-системе, зависят от того, какую систему вы используете. В общем случае для всех SIEM-систем необходимо настроить приемник сообщений и, при необходимости, анализатор сообщений, для того чтобы разложить полученные сообщения на поля.

Настройка приемника сообщений

Для SIEM-системы необходимо настроить приемник для получения событий, отправляемых Kaspersky Security Center. В общем случае в SIEM-системе необходимо указать следующие параметры:

• Протокол экспорта или тип входных данных

  Протокол передачи сообщений, TCP/IP или UDP. Необходимо указать тот же протокол, который был выбран в Kaspersky Security Center для передачи событий.

• Порт

  Номер порта для подключения к Kaspersky Security Center. Необходимо указать тот же номер порта, который был выбран в Kaspersky Security Center для передачи событий.

• Протокол передачи сообщений или тип исходных данных

  Протокол, используемый для экспорта событий в SIEM-систему. Это может являться одним из стандартных протоколов: Syslog, CEF или LEEF. SIEM-система выбирает анализатор событий, соответствующий указанному протоколу.

В зависимости от используемой SIEM-системы может потребоваться указать дополнительные параметры приемника сообщений.

На рисунке ниже приведен пример настройки приемника в ArcSight.

Настройка приемника в ArcSight

Анализатор сообщений

Экспортируемые события передаются в SIEM-систему в виде сообщений. Затем к этим сообщениям применяется анализатор, для того чтобы информация о событиях была должным образом передана в SIEM-систему. Анализатор сообщений встроен в SIEM-систему; он используется для разбиения сообщения на поля, такие как идентификатор сообщения, уровень важности, описание, параметры. В результате SIEM-система имеет возможность выполнять обработку событий, полученных из Kaspersky Security Center, таким образом, чтобы они сохранялись в базе данных SIEM-системы.

Выбор событий для экспорта в SIEM-системы в формате Syslog

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться во внешнюю SIEM-систему.

Вы можете настроить экспорт событий в формате Syslog во внешнюю систему на основе одного из следующих условий:

• Выбор общих событий. Если вы выберите экспортируемые события в политике, в свойствах события или в свойствах Сервера администрирования, то в SIEM-систему будут переданы выбранные события, которые произошли во всех программах, управляемых данной политикой. Если экспортируемые события были выбраны в политике, вам не удастся их переопределить для отдельной программы, управляемой этой политикой.
• Выбор событий для управляемой программы. Если вы выбираете экспортируемые события для управляемой программы, установленной на управляемых устройствах, то в SIEM-систему будут переданы только события, которые произошли в этой программе.

О выборе событий для экспорта в SIEM-систему в формате Syslog

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться во внешнюю SIEM-систему.

Вы можете настроить экспорт событий в формате Syslog во внешнюю систему на основе одного из следующих условий:

• Выбор общих событий. Если вы выберите экспортируемые события в политике, в свойствах события или в свойствах Сервера администрирования, то в SIEM-систему будут переданы выбранные события, которые произошли во всех программах, управляемых данной политикой. Если экспортируемые события были выбраны в политике, вам не удастся их переопределить для отдельной программы, управляемой этой политикой.
• Выбор событий для управляемой программы. Если вы выбираете экспортируемые события для управляемой программы, установленной на управляемых устройствах, то в SIEM-систему будут переданы только события, которые произошли в этой программе.

Выбор событий программ "Лаборатории Касперского" для экспорта в формате Syslog

Если вы хотите выполнить экспорт событий, произошедших в отдельной управляемой программе, установленной на управляемом устройстве, выберите для программы события для экспорта. В случае, если ранее экспортируемые события были выбраны в политике, вам не удастся переопределить выбранные события для отдельной программы, управляемой этой политикой.

Чтобы выбрать события для отдельной управляемой программы:

1. В дереве консоли Kaspersky Security Center выберите узел Управляемые устройства и перейдите на закладку Устройства.
2. Откройте контекстное меню требуемого устройства по правой клавише мыши и выберите пункт Свойства.
3. В открывшемся окне свойств устройства выберите раздел Программы.
4. В появившемся списке программ выберите программу, события которой требуется экспортировать, и нажмите на кнопку Свойства.
5. В окне свойств программы выберите раздел Настройка событий.
6. В появившемся списке событий выберите одно или несколько событий, которые требуется экспортировать в SIEM-систему, и нажмите на кнопку Свойства.
7. В открывшемся окне свойств событий выберите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отметить выбранные события для экспорта в формате Syslog. Выключите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отменить выбор событий для экспорта в формате Syslog.

   Если свойства события заданы в политике, поля этого окна недоступны для редактирования.

   

   Окно свойств событий

8. Нажмите на кнопку ОК, чтобы сохранить изменения.
9. Нажмите на кнопку ОК в окне свойств программы и в окне свойств устройства.

Выбранные события будут отправляться в SIEM-систему в формате Syslog. События, выбор которых вы отменили параметром Экспортировать в SIEM-систему по протоколу Syslog, не будут экспортироваться в SIEM-систему. Экспорт начнется сразу после того, как вы включите автоматический экспорт и выберете экспортируемые события. Выполните настройку SIEM-системы, чтобы обеспечить получение событий из Kaspersky Security Center.

Выбор общих событий для экспорта в формате Syslog

Если вы хотите выполнить экспорт событий, произошедших во всех программах, управляемых определенной политикой, выберите экспортируемые события в политике. В этом случае вы не можете выбрать события для отдельной управляемой программы.

Чтобы выбрать общие события для экспорта в SIEM-систему:

1. В дереве консоли Kaspersky Security Center выберите узел Политики.
2. Откройте контекстное меню требуемой политики по правой клавише мыши и выберите пункт Свойства.
3. В открывшемся окне свойств политики выберите раздел Настройка событий.
4. В появившемся списке событий выберите одно или несколько событий, которые требуется экспортировать в SIEM-систему, и нажмите на кнопку Свойства.

   Если требуется выбрать все события, нажмите на кнопку Выделить все.

5. В открывшемся окне свойств событий выберите параметр Экспортировать в SIEM-систему по протоколу Syslog, чтобы отметить выбранные события для экспорта в формате Syslog. Снимите флажок Экспортировать в SIEM-систему по протоколу Syslog, чтобы отменить выбор событий для экспорта в формате Syslog.

   

   Окно свойств событий Сервера администрирования

6. Нажмите на кнопку ОК, чтобы сохранить изменения.
7. В окне свойств политики нажмите на кнопку ОК.

Выбранные события будут отправляться в SIEM-систему в формате Syslog. События, выбор которых вы отменили параметром Экспортировать в SIEM-систему по протоколу Syslog, не будут экспортироваться в SIEM-систему. Экспорт начнется сразу после того, как вы включите автоматический экспорт и выберете экспортируемые события. Выполните настройку SIEM-системы, чтобы обеспечить получение событий из Kaspersky Security Center.

Об экспорте событий в формате Syslog

Используя формат Syslog можно выполнять экспорт в SIEM-системы событий, произошедших на Сервере администрирования и в других программах "Лаборатории Касперского", установленных на управляемых устройствах.

Syslog – это стандартный протокол регистрации сообщений. Этот протокол позволяет разделить программное обеспечение, генерирующее сообщения, систему, в которой хранятся сообщения, и программное обеспечение, выполняющее анализ и отчетность по сообщениям. Каждому сообщению присваивается код устройства, указывающий тип программного обеспечения, с помощью которого было создано сообщение, и уровень важности.

Формат Syslog определяется документами Request for Comments (RFC), опубликованными Internet Engineering Task Force. Стандарт RFC 5424 используется для экспорта событий из Kaspersky Security Center во внешние системы.

В Kaspersky Security Center можно настроить экспорт событий во внешние системы в формате Syslog.

Процесс экспорта состоит из двух шагов:

1. Включение автоматического экспорта событий. На этом шаге выполняется настройка Kaspersky Security Center таким образом, чтобы выполнялась отправка событий в SIEM-систему. Отправка событий из Kaspersky Security Center начинается сразу после включения автоматического экспорта.
2. Выбор событий, которые будут экспортироваться во внешнюю систему. На этом шаге вам нужно выбрать, какие события будут экспортироваться в SIEM-систему.

Об экспорте событий в форматах CEF и LEEF

Форматы CEF и LEEF можно использовать для экспорта в SIEM-систему общих событий, а также событий, переданных программами "Лаборатории Касперского" Серверу администрирования. Набор экспортируемых событий определен заранее, возможность выбирать экспортируемые события отсутствует. Перед отправкой событий в SIEM-систему (QRadar, ArcSight или Splunk) необходимо интерпретировать события Kaspersky Security Center в события в формате CEF и LEEF, используя правила, указанные в файле siem_conversion_rules.xml.

Формат экспорта можно выбрать в зависимости от того, какую SIEM-систему вы используете. В следующей таблице приведены SIEM-системы и соответствующие им форматы экспорта.

Форматы экспорта событий в SIEM-систему

• LEEF (Log Event Extended Format) – это специализированный формат событий для IBM Security QRadar SIEM. QRadar может получать, идентифицировать и обрабатывать события, передаваемые по протоколу LEEF. Для протокола LEEF должна использоваться кодировка UTF-8. Более подробную информацию о протоколе LEEF см. на веб-странице IBM Knowledge Center.
• CEF – это стандарт управления типа "открытый журнал", который улучшает совместимость информации системы безопасности от разных сетевых устройств и приложений. Протокол CEF позволяет использовать общий формат журнала событий, чтобы системы управления предприятием могли легко получать и объединять данные для анализа. Для протокола CEF должна использоваться кодировка UTF-8.

При автоматическом экспорте Kaspersky Security Center отправляет общие события в SIEM-систему. Автоматический экспорт событий начинается сразу после включения. В этом разделе описана процедура включения автоматического экспорта событий.

Конвертация событий в формат CEF или LEEF

Перед отправкой событий в SIEM-систему (QRadar, ArcSight или Splunk) необходимо интерпретировать события Kaspersky Security Center в события в формате CEF и LEEF, используя правила, указанные в файле siem_conversion_rules.xml. Этот файл входит в комплект поставки Kaspersky Security Center.

Файл siem_conversion_rules.xml содержит предустановленные правила интерпретации для конвертации событий в формат CEF и LEEF. Если вы хотите использовать дополнительные правила интерпретации событий, вы можете добавить их в файл вручную.

Файл siem_conversion_rules.xml включает в себя разделы <product name="SP_QRADAR" vendor="IBM"> и <product name="SP_QRADAR" vendor="IBM">. Раздел <product name="SP_QRADAR" vendor="IBM"> содержит правила генерации событий в формате LEEF, которые можно экспортировать в SIEM-систему QRadar. Раздел <product name="SP_ARCSIGHT" vendor="HP"> содержит правила генерации событий в формате CEF, которые можно экспортировать в SIEM-систему ArcSight или Splunk.

В каждом разделе есть подраздел <common>, в котором размещены атрибуты событий Kaspersky Security Center и соответствующие им атрибуты событий в формате LEEF. Эти общие атрибуты используются для всех типов событий, которые можно экспортировать.

Каждый раздел также имеет подраздел <event>. Каждый подраздел <event> содержит дополнительные атрибуты, которые добавляются к атрибутам, указанным в разделе <common>.

Вы можете вручную добавить новое правило генерации событий в файл siem_conversion_rules.xml.

Чтобы добавить новое правило генерации событий,

добавьте новый подраздел <event> в раздел <product name="SP_QRADAR" vendor="IBM"> или <product name="SP_QRADAR" vendor="IBM"> , а затем укажите дополнительные атрибуты события, если необходимо.

Если событие состоит только из общих атрибутов, подраздел <event> будет пустым.

siem_conversion_rules.xml

Настройка Kaspersky Security Center для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Вы можете включить автоматический экспорт событий в Kaspersky Security Center.

Только общие события могут быть экспортированы от управляемых программ в форматах CEF и LEEF. Правила интерпретации, используемые для конвертации событий в форматы CEF и LEEF, задаются в файле siem_conversion_rules.xml, который входит в комплект поставки Kaspersky Security Center.  Специфические события программ не могут быть экспортированы от управляемых программ в форматах CEF и LEEF. Если необходимо экспортировать события управляемых программ или пользовательский набор событий, который настроен с помощью политик управляемых программ, используйте экспорт событий в формате Syslog.

Чтобы включить автоматический экспорт общих событий:

1. В дереве консоли Kaspersky Security Center выберите узел с именем Сервера администрирования, события которого необходимо экспортировать.
2. В рабочей области выбранного Сервера администрирования перейдите на закладку События.
3. Нажмите на стрелку рядом со ссылкой Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите пункт Настроить экспорт в SIEM-систему.

   Откроется окно свойств событий на разделе Экспорт событий.

4. В разделе Экспорт событий укажите следующие параметры экспорта:

   

   Раздел Экспорт событий окна свойств событий

   • Автоматически экспортировать события в базу SIEM-системы

     Установите этот флажок, для того чтобы включить автоматический экспорт событий в SIEM-систему. При установке этого флажка все поля в разделе Экспорт событий становятся доступными для редактирования.

   • SIEM-система

     Выберите, в какую SIEM-систему будет выполняться экспорт событий: QRadar (LEEF-формат), ArcSight (CEF-формат), Splunk (CEF-формат) и формат Syslog (RFC 5424).

     Если вы выбрали формат Syslog, вам нужно указать:

     Максимальный размер сообщения в байтах

     Укажите максимальный размер в байтах одного сообщения, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. По умолчанию размер сообщения составляет 2048 байт. Данное поле доступно только в случае, если вы выбрали формат Syslog в поле SIEM-система.

   • Адрес сервера SIEM-системы

     Укажите адрес сервера SIEM-системы. Адрес сервера можно указать в формате DNS- или NetBIOS‑имени или IP-адреса.

   • Порт сервера SIEM-системы

     Укажите номер порта для соединения с сервером SIEM-системы. Этот номер порта должен совпадать с номером порта, который вы указываете в настройках приемника SIEM-системы для получения событий (см. раздел Настройка SIEM-системы).

   • Протокол

     Выберите протокол передачи сообщений в SIEM-систему. Вы можете выбрать протокол TCP, UDP или TLS over TCP.

     Укажите следующие параметры TLS, если вы выбираете TLS over TCP:

     • Аутентификация на SIEM-сервере

       Выберите один из следующих способов аутентификации сервера SIEM-системы:

       • Использовать сертификаты ЦС. Вы можете получить файл со списком сертификатов от доверенного центра сертификации (CA) и загрузить его в Kaspersky Security Center. Kaspersky Security Center проверяет, подписан ли сертификат SIEM-системы также доверенным центром сертификации или нет.

         Чтобы добавить доверенный сертификат, нажмите на кнопку Обзор и загрузите сертификат.

         Если вы выберете параметр Использовать сертификаты ЦС, можно указать имена субъектов в поле Субъекты сертификатов сервера (необязательно). Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Security Center не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя, если имя субъекта изменилось в сертификате. Для этого укажите имена субъектов в поле Субъекты сертификатов сервера (необязательно). Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Security Center проверяет сертификат сервера SIEM-системы.

       • Используя SHA-1 отпечатки сертификатов сервера. Вы можете указать в Kaspersky Security Center SHA-1 отпечатки сертификатов SIEM-системы. Чтобы добавить отпечаток SHA-1, введите его в поле под параметром.
     • Проверка подлинности клиента

       Для аутентификации клиента вы можете вставить свой сертификат или сгенерировать его в Kaspersky Security Center.

       • Вставить сертификат. Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Чтобы вставить существующий сертификат нажмите на кнопку Поиск сертификата. В открывшемся окне Сертификат выберите один из следующих типов сертификатов, а затем укажите сертификат и его закрытый ключ:
         • X.509-сертификат. Загрузите файл с закрытым ключом в поле Закрытый ключ (*.prk, *.pem) и файл с сертификатом в поле Сертификат (*.cer). Для этого нажмите на кнопку Обзор справа от соответствующего поля, а затем добавьте нужный файл. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла будут загружены, укажите пароль для расшифровки закрытого ключа в поле Пароль. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
         • Контейнер PKCS#12. Загрузите один файл, содержащий сертификат и его закрытый ключ, в поле Файл сертификата. Для этого нажмите на кнопку Обзор справа от поля и добавьте нужный файл. Когда файл будет загружен, укажите пароль для расшифровки закрытого ключа в поле Пароль. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
       • Сгенерировать ключ. Вы можете сгенерировать самоподписанный сертификат в Kaspersky Security Center. Нажмите на кнопку Сформировать сертификат и введите имя субъекта в поле Субъект. Пользовательский сертификат создается для этого имени субъекта и отпечаток SHA-1 этого сертификата отображается в поле Отпечаток SHA-1 пользовательского сертификата. В результате Kaspersky Security Center сохраняет сгенерированный самоподписанный сертификат, и вы можете передать публичную часть сертификата или отпечаток SHA-1 в SIEM-систему.
5. Если требуется выполнить экспорт в SIEM-систему событий, произошедших после определенной даты в прошлом, нажмите на кнопку Экспортировать архив и укажите дату, начиная с которой будет выполнен экспорт событий. По умолчанию экспорт событий начинается сразу после включения.
6. Нажмите на кнопку ОК.

Автоматический экспорт событий включен.

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться в SIEM-систему.

Экспорт событий напрямую из базы данных

Вы можете извлекать события напрямую из базы данных Kaspersky Security Center, не используя интерфейс Kaspersky Security Center. Можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях или создавать собственные представления на базе существующих публичных представлений и обращаться к ним для получения требуемых данных.

Публичные представления

Для вашего удобства в базе данных Kaspersky Security Center предусмотрен набор публичных представлений. Описание публичных представлений приведено в документе klakdb.chm.

Публичное представление v_akpub_ev_event содержит набор полей, соответствующих параметрам событий в базе данных. В документе klakdb.chm также содержится информация о публичных представлениях, относящихся к другим объектам Kaspersky Security Center, например, устройствам, программам, пользователям. Вы можете использовать эту информацию при создании запросов.

В этом разделе приведены инструкции по выполнению SQL-запроса с помощью утилиты klsql2, а также пример такого запроса.

Вы также можете использовать любые другие программы для работы с базами данных для создания SQL-запросов и представлений баз данных. Информация о том, как посмотреть параметры подключения к базе данных Kaspersky Security Center, например, имя инстанса и имя базы данных, приведена в соответствующем разделе.

Выполнение SQL-запроса с помощью утилиты klsql2

В этой статье приведены инструкции по использованию утилиты klsql2, а также по выполнению SQL-запроса с использованием этой утилиты. При выполнении SQL-запроса с помощью утилиты klsql2 нет необходимости в явном виде указывать имя и параметры доступа для базы данных, поскольку запрос обращается напрямую к публичным представлениям Kaspersky Security Center.

Чтобы использовать утилиту klsql2:

1. Найдите утилиту klsql2 в папке установки Kaspersky Security Center. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center. Не используйте версии утилиты klsql2, предназначенные для старых версий Kaspersky Security Center.
2. Создайте файл src.sql в любом текстовом редакторе и поместите файл в одну папку с утилитой.
3. В файле src.sql введите требуемый SQL-запрос и сохраните файл.
4. На устройстве, на котором установлен Сервер администрирования Kaspersky Security Center, в командной строке введите следующую команду для выполнения SQL-запроса из файла src.sql и сохранения результатов в файл result.xml:

   klsql2 -i src.sql -o result.xml

5. Откройте созданный файл result.xml и посмотрите результаты выполнения SQL-запроса.

Вы можете редактировать файл src.sql и создавать в нем любые SQL-запросы к публичным представлениям. Затем с помощью команды в командной строке можно запустить запрос и сохранить результаты в файл.

Пример SQL-запроса, созданного с помощью утилиты klsql2

В этом разделе приведен пример SQL-запроса, выполненного с помощью утилиты klsql2.

Следующий пример показывает, как получить список событий, произошедших на устройствах пользователей за последние 7 дней, и отсортировать его по времени возникновения событий, самые недавние события отображаются первыми.

Просмотр имени базы данных Kaspersky Security Center

Развернуть все | Свернуть все

Может быть полезно знать имя базы данных, если вам нужно, например, отправить SQL-запрос и подключиться к базе данных из редактора скриптов SQL.

Чтобы просмотреть имя базы данных Kaspersky Security Center:

1. В дереве консоли Kaspersky Security Center откройте контекстное меню узла Сервер администрирования по правой клавише мыши и выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите раздел Дополнительно, а затем Информация об используемой базе данных.
3. В разделе Информация об используемой базе данных обратите внимание на следующие свойства базы данных (см. рис. ниже):
   • Имя экземпляра

     Имя экземпляра используемой базы данных Kaspersky Security Center. Значение по умолчанию – .\KAV_CS_ADMIN_KIT.

   • Имя базы данных

     Имя базы данных SQL Kaspersky Security Center. По умолчанию указано значение KAV.

   

   Раздел с информацией об используемой базе данных Сервера администрирования

4. Нажмите на кнопку ОК, чтобы закрыть окно свойств Сервера администрирования.

Используйте это имя базы данных для подключения и обращения к базе данных в ваших SQL-запросах.

Просмотр результатов экспорта

Вы можете узнать, успешно ли завершилась процедура экспорта. Для этого проверьте, были ли получены SIEM-системой сообщения, содержащие экспортируемые события.

Если отправленные из Kaspersky Security Center события получены и правильно интерпретированы SIEM-системой, значит, настройка на обеих сторонах выполнена корректно. В противном случае проверьте и при необходимости исправьте настройки Kaspersky Security Center и SIEM-системы.

Ниже приведен пример событий, экспортированных в систему ArcSight. Например, первое событие – это критическое событие Сервера администрирования: Статус устройства "Критический".

Отображение экспортированных событий зависит от используемой SIEM-системы.

Пример событий