Содержание
Настройка получения событий Kaspersky Security Center в формате CEF
KUMA позволяет получать и передавать события в формате CEF от Сервера администрирования Kaspersky Security Center в
KUMA.
Настройка получения событий Kaspersky Security Center в формате CEF состоит из следующих этапов:
- Настройка пересылки событий Kaspersky Security Center.
- Настройка коллектора KUMA.
- Установка коллектора KUMA в сетевой инфраструктуре.
- Проверка поступления событий Kaspersky Security Center в формате CEF в коллектор KUMA.
Вы можете проверить, что экспорт событий из Сервера администрирования Kaspersky Security Center в формате CEF в SIEM-систему KUMA выполнен правильно, выполнив поиск связанных событий в веб-интерфейсе KUMA с помощью веб-интерфейса KUMA.
Чтобы отобразить события Kaspersky Security Center в формате CEF в таблице, введите следующее поисковое выражение:
SELECT * FROM `events` WHERE DeviceProduct = 'KSC' ORDER BY Timestamp DESC LIMIT 250
Настройка передачи событий Kaspersky Security Center в формате CEF
Kaspersky Security Center позволяет настроить параметры экспорта событий в SIEM-систему в формате CEF.
Функция экспорта событий Kaspersky Security Center в SIEM-системы в формате CEF доступна при наличии лицензии Kaspersky Endpoint Security для бизнеса Расширенный или выше.
Чтобы настроить передачу событий от Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA:
- В дереве консоли Kaspersky Security Center выберите узел Сервер администрирования.
- В рабочей области узла выберите вкладку События.
- Перейдите по ссылке Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите Настроить экспорт в SIEM-систему.
Откроется окно Свойства: События. По умолчанию откроется раздел Экспорт событий.
- В разделе Экспорт событий установите флажок Автоматически экспортировать события в базу SIEM-системы.
- В раскрывающемся списке SIEM-система выберите ArcSight (CEF-формат).
- Укажите адрес сервера SIEM-системы KUMA и порт для подключения к серверу в соответствующих полях. В качестве протокола выберите TCP/IP.
Вы можете нажать на кнопку Экспортировать архив и указать дату, начиная с которой уже созданные события KUMA будут экспортироваться в базу SIEM-системы. По умолчанию Kaspersky Security Center экспортирует события с текущей даты.
- Нажмите на кнопку ОК.
В результате Сервер администрирования Kaspersky Security Center будет автоматически экспортировать все события в SIEM-систему KUMA.
Настройка экспорта событий Kaspersky Security Center в SIEM-систему KUMA
В началоНастройка коллектора KUMA для сбора событий Kaspersky Security Center
После завершения настройки экспорта событий от Сервера администрирования Kaspersky Security Center в формате CEF вам нужно настроить коллектор в веб-интерфейсе KUMA.
Чтобы настроить коллектор KUMA для событий Kaspersky Security Center:
- В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коллекторы.
- В списке коллекторов найдите коллектор с нормализатором [OOTB] KSC и нажмите на него, чтобы открыть для редактирования.
- На шаге Транспорт в поле URL укажите порт, по которому коллектор будет получать события Kaspersky Security Center.
Порт должен совпадать с портом сервера SIEM-системы KUMA.
- На шаге Парсинг событий проверьте, что выбран нормализатор [OOTB] KSC.
- На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
- На шаге Проверка параметров нажмите Сохранить и создать сервис.
- Скопируйте появившуюся команду для установки коллектора KUMA.
Установка коллектора KUMA для сбора событий Kaspersky Security Center
После завершения настройки коллектора для сбора событий Kaspersky Security Center в формате CEF требуется установить коллектор KUMA на сервере сетевой инфраструктуры, предназначенной для получения событий.
Подробнее о процедуре установки коллектора KUMA см. в разделе Установка коллектора в сетевой инфраструктуре.
В начало