卡巴斯基容器安全

创建与 SIEM 系统的集成

要添加 SIEM 集成：

1. 在管理→集成→ SIEM部分中，单击添加 SIEM。

   一个侧栏将显示，您可以在其中输入 SIEM 系统的参数。

2. 在常规选项卡上，指定以下必需参数：
   • SIEM 系统的名称。
   • 连接 SIEM 系统的协议。默认选择TCP。
   • SIEM 系统服务器的地址采用以下格式之一：
     • IPv4
     • IPv6
     • FQDN
   • 用于连接 SIEM 系统的端口。您可以指定端口 1 到 65535。默认设置为 514。
   • 您想要将消息导出到 SIEM 系统的事件类别。要进行此项配置，请从以下列表中选中一个或多个事件类别旁边的复选框：
     • 管理。
     • 警报。
     • CI/CD。
     • 策略。
     • 资源。
     • 扫描器。
     • 准入控制器。
     • 取证数据。
     • API。

       查看资源、扫描仪、准入控制器和取证数据类别中的事件需要高级授权许可。

     默认选择所有状态。

     有关选定事件类别的消息将被发送到指定的 SIEM 系统，无论它是否链接到代理组。

3. 在代理组日志选项卡上，选中一个或多个事件类型旁边的复选框作为运行时节点监控的一部分。

   被发送到运行时环境的事件消息日志可能非常大，这会影响可用磁盘空间和网络负载。

4. 如果您想验证指定的 SIEM 集成参数的正确性，请单击测试连接。

   如果选择了 TCP 连接协议，该解决方案将测试与 SIEM 系统的连接。如果选择了 UDP 连接协议，则测试连接按钮将被禁用。

5. 单击“保存”。