Об интеграции с SIEM
Чтобы уменьшить нагрузку на маломощные устройства и уменьшить риск снижения производительности системы в результате увеличения размеров журналов программы, можно настроить публикацию событий аудита и событий выполнения задач по протоколу syslog на syslog-сервер.
Syslog-сервер – это внешний сервер для сбора событий (SIEM). Он хранит и анализирует полученные события, а также выполняет другие действия по управлению журналами.
Вы можете использовать интеграцию с SIEM в двух режимах:
- Дублировать события на syslog-сервере: в этом режиме все события выполнения задач, публикация которых настроена в параметрах журналов, а также все события системного аудита продолжают храниться на защищаемом устройстве даже после отправки на SIEM-сервер.
Рекомендуется использовать этот режим, чтобы максимально снизить нагрузку на защищаемое устройство.
- Удалять локальные копии событий: в этом режиме все события, зарегистрированные в ходе работы программы и опубликованные на SIEM-сервере, будут удалены с защищаемого устройства.
Программа никогда не удаляет локальные версии журнала безопасности.
Kaspersky Embedded Systems Security может конвертировать события в журналах программы в форматы, поддерживаемые syslog-сервером, для передачи событий и их успешного распознавания на стороне SIEM-сервера. Программа поддерживает конвертацию в формат структурированных данных и в формат JSON.
Рекомендуется выбирать формат событий на основе конфигурации используемого SIEM-сервера.
Параметры надежности
Чтобы снизить риск неудачной отправки событий на SIEM-сервер, задайте параметры подключения к зеркальному syslog-серверу.
Зеркальный syslog-сервер – это дополнительный syslog-сервер, на использование которого программа переключается автоматически, если не удается подключиться к основному syslog-серверу или использовать его.
Также Kaspersky Embedded Systems Security использует события системного аудита для уведомления о неудачных попытках подключения к SIEM-серверу и об ошибках отправки событий на SIEM-сервер.
