Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Настройка получения событий VipNet TIAS

Вы можете настроить получение событий VipNet TIAS в KUMA по протоколу syslog.

Настройка получения событий состоит из следующих этапов:

  1. Настройка передачи событий VipNet TIAS в KUMA.
  2. Создание коллектора KUMA для получения событий VipNet TIAS.

    Для получения событий VipNet TIAS с помощью Syslog в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Syslog-CEF.

  3. Установка коллектора KUMA для получения событий VipNet TIAS.
  4. Проверка поступления событий VipNet TIAS в KUMA.

    Вы можете проверить, что настройка сервера источника событий VipNet TIAS выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

В начало
[Topic 255310]

Настройка передачи событий VipNet TIAS в KUMA

Чтобы настроить передачу событий VipNet TIAS в KUMA по протоколу syslog:

  1. Подключитесь к веб-интерфейсу VipNet TIAS под учётной записью с правами администратора.
  2. Перейдите в раздел УправлениеИнтеграции.
  3. На странице Интеграция перейдите на вкладку Syslog.
  4. На панели инструментов списка принимающих серверов нажмите Новый сервер.
  5. В открывшейся карточке нового сервера выполните следующие действия:
    1. В поле Адрес сервера укажите IP-адрес или доменное имя коллектора KUMA.

      Например, 10.1.2.3 или syslog.siem.ru

    2. В поле Порт укажите входящий порт коллектора KUMA. По умолчанию указан порт 514.
    3. В списке Протокол выберите протокол транспортного уровня, который прослушивает коллектор KUMA. По умолчанию выбран протокол UDP.
    4. В списке Организация с помощью флажков выберите организации инфраструктуры ViPNet TIAS.

      Сообщения будут отправляться только по инцидентам, обнаруженным на основании событий, полученных от сенсоров выбранных организаций инфраструктуры.

    5. В списке Статус с помощью флажков выберите статусы инцидентов.

      Сообщения будут отправляться только при назначении инцидентам выбранных статусов.

    6. В списке Уровень важности с помощью флажков выберите уровни важности инцидентов.

      Сообщения будут отправляться только об инцидентах выбранных уровней важности. По умолчанию в списке выбран только высокий уровень важности.

    7. В списке Язык интерфейса выберите язык, на котором вы хотите получать информацию об инцидентах в сообщениях. По умолчанию выбран русский язык.
  6. Нажмите кнопку Добавить.
  7. На панели инструментов списка установите переключатель Не передавать информацию об инцидентах в формате CEF в состояние "включено".

    В результате при обнаружении новых и изменении статусов ранее выявленных инцидентов, в зависимости от выбранных при настройке статусов, будет выполняться передача соответствующей информации на указанные адреса принимающих серверов по протоколу syslog в формате CEF.

  8. Нажмите Сохранить изменения.

Настройка отправки событий в коллектор KUMA выполнена.

В начало
[Topic 255311]