Kaspersky Anti Targeted Attack (KATA) Platform

Настройка интеграции с SIEM-системой

14 мая 2024

ID 247568

Kaspersky Anti Targeted Attack Platform может публиковать информацию о действиях пользователей в веб-интерфейсе приложения и обнаружениях в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.

Для передачи данных вы можете использовать TLS-шифрование.

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с внешней системой одним из следующих способов:

  • Использовать функцию Round Robin.
  • Настроить параметры внешней системы, чтобы при возникновении сетевой ошибки внешняя система переключалась между IP-адресами серверов кластера.

Чтобы настроить отказоустойчивую интеграцию с внешней системой с помощью функции Round Robin:

  1. Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
  2. В параметрах почтового сервера укажите это доменное имя.

Интеграция с почтовым сервером будет настроена по доменному имени. Почтовый сервер обратится к случайному серверу кластера. При отказе этого сервера почтовый сервер будет обращаться к другому работоспособному серверу кластера.

В этом разделе

Включение и отключение записи информации в удаленный журнал

Настройка основных параметров интеграции с SIEM-системой

Загрузка TLS-сертификата

Включение и отключение TLS-шифрования соединения с SIEM-системой

Содержание и свойства syslog-сообщений об обнаружениях

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!