Настройка коннектора CEF Connector

Kaspersky MLAD использует коннектор CEF Connector для получения данных от внешних источников событий (промышленного интернета вещей, сетевых устройств и приложений) и отправки во внешнюю систему сообщений о регистрации инцидентов.

Вы также можете использовать коннектор CEF Connector для отправки журналов событий информационной безопасности Kaspersky MLAD во внешнюю систему. Запись журналов событий ИБ в базу данных Kaspersky MLAD ведется автоматически.

Для получения событий от внешних источников с помощью коннектора CEF Connector требуется настроить службу Event Processor.
Перед настройкой параметров коннектора CEF Connector в веб-интерфейсе Kaspersky MLAD для получения событий в файле .env требуется указать IP-адрес и номер порта, по которому будет осуществляться подключение внешнего источника событий к коннектору CEF Connector. Изменение параметров конфигурационного файла выполняет только квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Работы по настройке коннектора CEF Connector могут выполнять системные администраторы.

Чтобы настроить коннектор CEF Connector:

1. В нижнем левом углу страницы нажмите на кнопку .

   Вы перейдете в меню администратора.

2. Выберите раздел Системные параметры → CEF Connector.

   Справа отобразится список параметров.

3. С помощью переключателя Получать события для службы Event Processor включите или выключите использование коннектора CEF Connector для получения событий из внешней системы.
4. С помощью переключателя Отправлять зарегистрированные инциденты в SIEM-систему включите или выключите отправку во внешнюю систему сообщений об инцидентах, зарегистрированных программой.
5. С помощью переключателя Отправлять зарегистрированные события в SIEM-систему включите или выключите отправку во внешнюю систему сообщений о событиях, зарегистрированных службой Event Processor.
6. В поле IP-адрес для отправки событий и инцидентов в SIEM-систему укажите IP-адрес для подключения внешней системы к коннектору CEF Connector и отправки событий, обработанных службой Event Processor, и инцидентов.
7. В поле Порт для отправки событий и инцидентов в SIEM-систему укажите номер порта для подключения внешней системы к коннектору CEF Connector и отправки событий, обработанных службой Event Processor, и инцидентов.
8. Если требуется отправлять журналы событий ИБ Kaspersky MLAD во внешнюю систему, включите переключатель Отправлять журналы событий информационной безопасности на syslog-сервер и выполните следующие действия:
   1. В раскрывающемся списке Транспортный протокол для отправки событий информационной безопасности на syslog-сервер выберите протокол, который требуется использовать для отправки журналов событий ИБ.

      Kaspersky MLAD поддерживает протоколы TCP и UDP для отправки журналов событий ИБ во внешнюю систему.

   2. В поле Адрес syslog-сервера для отправки событий информационной безопасности укажите IP-адрес или имя хоста внешней системы, в которую требуется отправлять журналы событий ИБ.
   3. В поле Порт syslog-сервера для отправки событий информационной безопасности укажите номер порта внешней системы, в которую требуется отправлять журналы событий ИБ.
9. С помощью переключателя Использовать TLS-соединение включите или выключите использование защищенного TLS-соединения при использовании Kaspersky MLAD в качестве клиента.

   По умолчанию использование защищенного TLS-соединения включено.

   Во избежание компрометации получаемых и/или отправляемых данных рекомендуется оставить включенным использование защищенного TLS-соединения.

10. Если вы включили использование защищенного TLS-соединения, с помощью переключателя Использовать рекомендуемые параметры TLS-соединения включите или выключите использование рекомендуемых параметров TLS-соединения.

    При включенном переключателе используется защищенное TLS-соединение по протоколу TLS-1.2 или TLS-1.3 с использованием набора шифров из списка рекомендованных.

11. Если требуется использовать защищенное TLS-соединение для серверной части коннектора CEF Connector, выполните следующие действия:
    1. Добавьте сертификат сервера и ключ к сертификату с помощью кнопки Обзор под параметрами Сертификат сервера и Закрытый ключ к сертификату сервера.

       Рекомендуется использовать сертификат с длиной ключа к сертификату не менее 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.

    2. Если используются сертификаты клиента, добавьте корневой сертификат для проверки подписи сертификата клиента с помощью кнопки Обзор под параметром Сертификат CA для проверки подписи сертификата клиента.

    Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку в соответствующем поле.

12. Если требуется использовать защищенное TLS-соединение для серверной части коннектора CEF Connector, при необходимости выполните следующие действия:
    1. Добавьте сертификат клиента и ключ к сертификату с помощью кнопки Обзор под параметрами Сертификат клиента и Закрытый ключ к сертификату клиента.

       Рекомендуется использовать сертификат с длиной ключа к сертификату не менее 4 096 бит при использовании алгоритма RSA или 256 бит при использовании алгоритма ECDH.

    2. Если используются сертификаты сервера, добавьте корневой сертификат для проверки подписи сертификата сервера с помощью кнопки Обзор под параметром Сертификат CA для проверки подписи сертификата сервера.

    Загрузка сертификатов и ключа к сертификату возможна только в виде файла в формате DER или PEM.

    Если требуется удалить файл сертификата или ключ к сертификату, нажмите на кнопку в соответствующем поле. Если требуется сохранить файл сертификата или ключ к сертификату на компьютере, нажмите на кнопку в соответствующем поле.

13. Нажмите на кнопку Сохранить.

В начало