Kaspersky Security Center 14 Windows
Настройка Kaspersky Security Center для экспорта событий в SIEM-систему
В этой статье описывается, как настроить экспорт событий в SIEM-системы.
Перед отправкой событий в SIEM-систему (QRadar, ArcSight или Splunk) необходимо интерпретировать события Kaspersky Security Center в события в формате CEF и LEEF, используя правила, указанные в файле siem_conversion_rules.xml.
Чтобы настроить экспорт в SIEM-системы из Kaspersky Security Center Web Console:
- В раскрывающемся списке Параметры консоли выберите Интеграция.
Откроется окно Параметры консоли.
- Выберите закладку Интеграция.
- На закладке Интеграция выберите раздел SIEM.
- Перейдите по ссылке Параметры.
Откроется раздел Параметры экспорта.
- Укажите параметры в разделе Параметры экспорта:
- Адрес сервера SIEM-системы
Адрес сервера, на котором установлена используемая SIEM-система. Это значение необходимо уточнить в настройках SIEM-системы.
- Порт SIEM-системы
Номер порта, по которому будет установлено соединение между Kaspersky Security Center и сервером SIEM-системы. Это значение необходимо указать в настройках Kaspersky Security Center и настройках приемника в SIEM-системе.
- Протокол
Выберите протокол передачи сообщений в SIEM-систему. Вы можете выбрать протокол TCP, UDP или TLS over TCP.
Укажите следующие параметры TLS, если вы выбираете TLS over TCP:
- Аутентификация Сервера
В поле Аутентификация Сервера можно выбрать значения Доверенные сертификаты или же Отпечатки SHA:
- Доверенные сертификаты. Вы можете получить полную цепочку сертификатов (включая корневой сертификат) от доверенного центра сертификации (CA) и загрузить его в Kaspersky Security Center. Kaspersky Security Center проверяет, подписана ли цепочка сертификатов SIEM-системы также доверенным центром сертификации или нет.
Чтобы добавить доверенный сертификат, нажмите на кнопку Выбрать файл центра сертификации и загрузите сертификат.
- Отпечатки SHA. Вы можете указать отпечатки SHA1 всей цепочки сертификатов SIEM-системы (включая корневой сертификат) в Kaspersky Security Center. Чтобы добавить отпечаток SHA1, введите его в поле Отпечаток и нажмите на кнопку Добавить.
С помощью Добавить проверку подлинности клиента вы можете сгенерировать сертификат для аутентификации Kaspersky Security Center. Таким образом, вы будете использовать самоподписанный сертификат, выпущенный Kaspersky Security Center. В этом случае для аутентификации сервера SIEM-системы можно использовать как доверенный сертификат, так и отпечаток SHA.
- Доверенные сертификаты. Вы можете получить полную цепочку сертификатов (включая корневой сертификат) от доверенного центра сертификации (CA) и загрузить его в Kaspersky Security Center. Kaspersky Security Center проверяет, подписана ли цепочка сертификатов SIEM-системы также доверенным центром сертификации или нет.
- Добавить имя субъекта/альтернативное имя субъекта
Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Security Center не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя, если имя изменилось в сертификате. В этом случае вы можете указать имена субъектов в поле Добавить имя субъекта/альтернативное имя субъекта. Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Security Center проверяет сертификат сервера SIEM-системы.
- Добавить проверку подлинности клиента
Для аутентификации клиента вы можете вставить свой сертификат или сгенерировать его в Kaspersky Security Center.
- Вставить сертификат. Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:
- X.509-сертификат PEM. Загрузите файл с сертификатом в поле Файл с сертификатом и файл с закрытым ключом в поле Файл с ключом. Оба файла не зависят друг от друга. Порядок загрузки файлов не имеет значения. Когда оба файла будут загружены, укажите пароль для расшифровки закрытого ключа в поле Проверка пароля или сертификата. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
- X.509-сертификат PKCS12. Загрузите один файл, содержащий сертификат и его закрытый ключ, в поле Файл с сертификатом. Когда файл будет загружен, укажите пароль для расшифровки закрытого ключа в поле Проверка пароля или сертификата. Пароль может иметь пустое значение, если закрытый ключ не зашифрован.
- Сгенерировать ключ. Вы можете сгенерировать самоподписанный сертификат в Kaspersky Security Center. В результате Kaspersky Security Center сохраняет сгенерированный самоподписанный сертификат, и вы можете передать публичную часть сертификата или SHA1-отпечаток в SIEM-систему.
- Вставить сертификат. Вы можете использовать сертификат, полученный из любого источника, например, от любого доверенного центра сертификации. Вам нужно указать сертификат и его закрытый ключ, используя один из следующих типов сертификатов:
- Аутентификация Сервера
- Формат даты
Вы можете выбрать форматы Syslog, CEF или LEEF, в зависимости от требований SIEM-системы.
Если вы выбрали формат Syslog, вам нужно указать:
- Максимальный размер сообщения события в байтах
Укажите максимальный размер в байтах одного сообщения, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. По умолчанию размер сообщения составляет 2048 байт. Это поле доступно только, если вы выбрали формат Syslog в поле Протокол.
- Адрес сервера SIEM-системы
- Переключите параметр в положение Автоматически экспортировать события в базу SIEM-системы Включено.
- Нажмите на кнопку Сохранить.
Экспорт в SIEM-систему настроен.
|
См. также: |