Настройка Kaspersky Security Center Cloud Console для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Чтобы экспортировать события в SIEM-систему, вам необходимо настроить процесс экспорта из Kaspersky Security Center Cloud Console.

Чтобы настроить экспорт в SIEM-системы из Kaspersky Security Center Cloud Console:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования на вкладке Общие.

2. Перейдите в раздел SIEM и нажмите ссылку Параметры.
3. На открывшейся правой панели настройте параметры экспорта.
   • В поле Адрес сервера SIEM-системы укажите IP-адрес сервера, на котором установлена используемая SIEM-система.

     Это значение необходимо уточнить в настройках SIEM-системы.

   • В поле Порт SIEM-системы укажите номер порта, по которому будет установлено соединение между Kaspersky Security Center Cloud Console и сервером SIEM-системы.

     Это значение необходимо указать в настройках Kaspersky Security Center Cloud Console и настройках приемника в SIEM-системе.

   • В списке Протокол значение выбрано по умолчанию. Вы можете использовать только TLS over TCP для передачи сообщений в SIEM-систему.
   • В раскрывающемся списке Аутентификация Сервера выберите одно из следующих значений:
     • Доверенные сертификаты, а затем нажмите отобразившуюся кнопку Выбрать файл центра сертификации для загрузки доверенного сертификата.

       Вы можете получить полную цепочку сертификатов (включая корневой сертификат) от доверенного центра сертификации (CA) и загрузить его в Kaspersky Security Center Cloud Console. Kaspersky Security Center Cloud Console проверяет, подписана ли цепочка сертификатов SIEM-системы также доверенным центром сертификации или нет.

     • Отпечатки SHA, а затем в поле Отпечатки введите отпечаток SHA1 и нажмите кнопку Добавить.

       Вы можете указать отпечатки SHA1 всей цепочки сертификатов SIEM-системы (включая корневой сертификат) в Kaspersky Security Center Cloud Console.

   • Щелкните ссылку Добавить имя субъекта/альтернативное имя субъекта.

     Эта ссылка отображается только в случае выбора пункта Доверенные сертификаты в раскрывающемся списке Аутентификация Сервера.

     Имя субъекта – это доменное имя, для которого получен сертификат. Kaspersky Security Center Cloud Console не может подключиться к серверу SIEM-системы, если доменное имя сервера SIEM-системы не совпадает с именем субъекта сертификата сервера SIEM-системы. Однако сервер SIEM-системы может изменить свое доменное имя, если имя изменилось в сертификате. В этом случае вы можете указать имена субъектов в поле Имя субъекта/альтернативное имя субъекта. Если какое-либо из указанных имен субъектов совпадает с именем субъекта сертификата SIEM-системы, Kaspersky Security Center Cloud Console проверяет сертификат сервера SIEM-системы.

   • Щелкните ссылку Добавить проверку подлинности клиента, а затем выберите в раскрывающемся списке Если у вас нет сертификата, вы можете его сгенерировать один из следующих вариантов:
     • Сгенерировать ключ, а затем нажмите кнопку Сгенерировать, если требуется сгенерировать самоподписанный сертификат в Kaspersky Security Center Cloud Console. В результате Kaspersky Security Center Cloud Console сохраняет сгенерированный самоподписанный сертификат, и вы можете передать публичную часть сертификата или SHA1-отпечаток в SIEM-систему.

       С помощью этого параметра вы можете сгенерировать сертификат для аутентификации Kaspersky Security Center Cloud Console. Таким образом, вы будете использовать самоподписанный сертификат, выпущенный Kaspersky Security Center Cloud Console. В этом случае для аутентификации сервера SIEM-системы можно использовать как доверенный сертификат, так и отпечаток SHA.

     • Вставить сертификат, если вы хотите использовать сертификат, полученный из любого источника, например от любого аккредитованного центра сертификации.

       Затем укажите сертификат с соответствующим закрытым ключом, выполнив следующие действия:

       1. В раскрывающемся списке Сертификация клиента выберите тип сертификата:
          • X.509-сертификат PEM
          • X.509-сертификат PKCS12
       2. В поле Файл с сертификатом загрузите файл с сертификатом.
       3. Если выбран вариант X.509-сертификат PEM, в отобразившемся разделе Файл с ключом загрузите файл с закрытым ключом.

          Файл с сертификатом и файл с закрытым ключом не зависят друг от друга, и порядок загрузки этих файлов не важен.

       4. Если закрытый ключ зашифрован, укажите пароль для расшифровки в поле Проверка пароля или сертификата. В противном случае это поле можно оставить пустым.
   • В разделе Формат данных предварительно выбрано значение Системный журнал.

     Вы можете задать только ограничение длины сообщения, отправляемого в SIEM-систему, в поле Максимальный размер сообщения в байтах. В случае превышения этого предела сообщение будет обрезано.

4. Вы можете экспортировать заархивированные события из базы данных Сервера администрирования и установить дату начала, с которой вы хотите начать экспорт заархивированных событий:
   1. Перейдите по ссылке Установите дату начала экспорта.
   2. В открывшемся разделе, укажите дату начала экспорта в поле Дата начала экспорта.
   3. Нажмите на кнопку ОК.
5. Переключите параметр в положение Автоматически экспортировать события в базу SIEM-системы Включено.
6. Чтобы убедиться, что соединение с SIEM-системой настроено, нажмите на кнопку Проверить подключение.

   Отобразится статус подключения.

7. Нажмите на кнопку Сохранить.

Экспорт в SIEM-систему настроен. Если вы настроили получение событий в SIEM-системе, Сервер администрирования экспортирует выбранные события в SIEM-систему. Если вы установите дату начала экспорта, Сервер администрирования также экспортирует выбранные события, хранящиеся в базе данных Сервера администрирования, с указанной даты.

См. также: Настройка экспорта событий в SIEM-системы Настройка экспорта событий в SIEM-системе

В начало