В поле Адрес сервера SIEM-системы укажите IP-адрес сервера, на котором установлена используемая SIEM-система.
Это значение необходимо уточнить в настройках SIEM-системы.
В поле Порт SIEM-системы укажите номер порта, по которому будет установлено соединение между Kaspersky Security Center Cloud Console и сервером SIEM-системы.
Это значение необходимо указать в настройках Kaspersky Security Center Cloud Console и настройках приемника в SIEM-системе.
В списке Протокол значение выбрано по умолчанию. Вы можете использовать только TLS over TCP для передачи сообщений в SIEM-систему.
В раскрывающемся списке Аутентификация Сервера выберите одно из следующих значений:
Доверенные сертификаты, а затем нажмите отобразившуюся кнопку Выбрать файл центра сертификации для загрузки доверенного сертификата.
Вы можете получить полную цепочку сертификатов (включая корневой сертификат) от доверенного центра сертификации (CA) и загрузить его в Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console проверяет, подписана ли цепочка сертификатов SIEM-системы также доверенным центром сертификации или нет.
Отпечатки SHA, а затем в поле Отпечатки введите отпечаток SHA1 и нажмите кнопку Добавить.
Вы можете указать отпечатки SHA1 всей цепочки сертификатов SIEM-системы (включая корневой сертификат) в Kaspersky Security Center Cloud Console.
Щелкните ссылку Добавить имя субъекта/альтернативное имя субъекта.
Эта ссылка отображается только в случае выбора пункта Доверенные сертификаты в раскрывающемся списке Аутентификация Сервера.
Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Security Center Cloud Console не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя, если имя изменилось в сертификате. В этом случае вы можете указать имена субъектов в поле Имя субъекта/альтернативное имя субъекта. Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Security Center Cloud Console проверяет сертификат сервера SIEM-системы.
Щелкните ссылку Добавить проверку подлинности клиента, а затем выберите в раскрывающемся списке Если у вас нет сертификата, вы можете его сгенерировать один из следующих вариантов:
Сгенерировать ключ, а затем нажмите кнопку Сгенерировать, если требуется сгенерировать самоподписанный сертификат в Kaspersky Security Center Cloud Console. В результате Kaspersky Security Center Cloud Console сохраняет сгенерированный самоподписанный сертификат, и вы можете передать публичную часть сертификата или SHA1-отпечаток в SIEM-систему.
С помощью этого параметра вы можете сгенерировать сертификат для аутентификации Kaspersky Security Center Cloud Console. Таким образом, вы будете использовать самоподписанный сертификат, выпущенный Kaspersky Security Center Cloud Console. В этом случае для аутентификации сервера SIEM-системы можно использовать как доверенный сертификат, так и отпечаток SHA.
Вставить сертификат, если вы хотите использовать сертификат, полученный из любого источника, например от любого аккредитованного центра сертификации.
Затем укажите сертификат с соответствующим закрытым ключом, выполнив следующие действия:
В раскрывающемся списке Сертификация клиента выберите тип сертификата:
X.509-сертификат PEM
X.509-сертификат PKCS12
В поле Файл с сертификатом загрузите файл с сертификатом.
Если выбран вариант X.509-сертификат PEM, в отобразившемся разделе Файл с ключом загрузите файл с закрытым ключом.
Файл с сертификатом и файл с закрытым ключом не зависят друг от друга, и порядок загрузки этих файлов не важен.
Если закрытый ключ зашифрован, укажите пароль для расшифровки в поле Проверка пароля или сертификата. В противном случае это поле можно оставить пустым.
В разделе Формат данных предварительно выбрано значение Системный журнал.
Вы можете задать только ограничение длины сообщения, отправляемого в SIEM-систему, в поле Максимальный размер сообщения в байтах. В случае превышения этого предела сообщение будет обрезано.
Вы можете экспортировать заархивированные события из базы данных Сервера администрирования и установить дату начала, с которой вы хотите начать экспорт заархивированных событий:
Перейдите по ссылке Установите дату начала экспорта.
В открывшемся разделе, укажите дату начала экспорта в поле Дата начала экспорта.
Нажмите на кнопку ОК.
Переключите параметр в положение Автоматически экспортировать события в базу SIEM-системы Включено.
Чтобы убедиться, что соединение с SIEM-системой настроено, нажмите на кнопку Проверить подключение.
Отобразится статус подключения.
Нажмите на кнопку Сохранить.
Экспорт в SIEM-систему настроен. Если вы настроили получение событий в SIEM-системе, Сервер администрирования экспортирует выбранные события в SIEM-систему. Если вы установите дату начала экспорта, Сервер администрирования также экспортирует выбранные события, хранящиеся в базе данных Сервера администрирования, с указанной даты.