Настройка Kaspersky Security Center для отправки событий в KUMA

Для просмотра информации о задачах из Kaspersky Security Center в KUMA необходимо настроить экспорт событий Kaspersky Security Center в формате CEF и выбрать типы событий, которые будут экспортироваться из Kaspersky Security Center.

Чтобы экспортировать события Kaspersky Security Center в KUMA:

  1. В дереве консоли Kaspersky Security Center выберите узел с именем Сервера администрирования, события которого необходимо экспортировать.
  2. В рабочей области выбранного Сервера администрирования перейдите на закладку События.
  3. Нажмите на стрелку рядом со ссылкой Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите значение Настроить экспорт в SIEM-систему.
  4. Откроется окно свойств событий в разделе Экспорт событий.
  5. В разделе Экспорт событий укажите следующие параметры:
    1. Установите флажок Автоматически экспортировать события в базу SIEM-системы.
    2. В раскрывающемся списке SIEM-система выберите ArcSight (формат CEF).
    3. В поле Адрес сервера SIEM-системы введите веб-адрес сервера коллектора KUMA, используемого для приема событий из Kaspersky Security Center.
    4. В поле Порт сервера SIEM-системы введите порт, через который сервер коллектора KUMA ожидает приема событий из Kaspersky Security Center.
    5. В раскрывающемся списке Протокол выберите TCP/IP.
  6. Нажмите ОК.

Автоматический экспорт событий из Kaspersky Security Center будет включен. Подробнее об экспорте событий из Kaspersky Security Center в SIEM-системы см. онлайн-справку Kaspersky Security Center.

Чтобы выбрать типы событий для экспорта для каждой политики Kaspersky Security Center:

  1. В дереве консоли Kaspersky Security Center выберите узел Политики.
  2. Откройте контекстное меню требуемой политики по правой клавише мыши и выберите пункт Свойства.
  3. В открывшемся окне свойств политики выберите раздел Настройка событий.
  4. На закладке Информация выберите типы событий Задача запущена и Задача выполнена и нажмите кнопку Свойства.
  5. В появившемся окне свойств событий установите флажок Экспортировать в SIEM-систему по протоколу Syslog, чтобы включить экспорт для выбранных событий.
  6. Нажмите на кнопку ОК, чтобы сохранить изменения.
  7. В окне свойств политики нажмите на кнопку ОК.

Выбранные события будут отправляться в KUMA по протоколу Syslog. Подробнее об экспорте событий из Kaspersky Security Center по протоколу Syslog см. в онлайн-справке Kaspersky Security Center.

Необходимо настроить коллектор KUMA на прием событий Kaspersky Security Center. Для событий из Kaspersky Security Center установлено значение поля DeviceProduct = SecurityCenter, по которому их можно искать в KUMA.

Пример коллектора для получения событий Kaspersky Security Center включен в установочный пакет KUMA. Он называется [Example] KSC. Он состоит из коннектора, выполняющего прослушивание TCP-порта 5141, и, что более важно, нормализатора [Example] KSC, который используется для обработки событий Kaspersky Security Center в ваших собственных коллекторах.

В начало