Esportazione di eventi nei sistemi SIEM

In questa sezione viene descritto come esportare gli eventi registrati da Kaspersky Security Center in sistemi SIEM (Security Information and Event Management) esterni.

Scenario: configurazione dell'esportazione di eventi nei sistemi SIEM

Kaspersky Security Center consente la configurazione con uno dei seguenti metodi: esportazione in qualsiasi sistema SIEM che utilizza il formato Syslog, esportazione in sistemi QRadar, Splunk, ArcSight SIEM che utilizzano i formati LEEF e CEF o esportazione di eventi in sistemi SIEM direttamente dal database di Kaspersky Security Center. Al termine di questo scenario, Administration Server invia automaticamente gli eventi al sistema SIEM.

Prerequisiti

Prima di avviare la configurazione dell'esportazione degli eventi in Kaspersky Security Center:

• Ulteriori informazioni sui metodi di esportazione degli eventi.
• Assicurarsi di disporre dei valori delle impostazioni di sistema.

È possibile eseguire i passaggi di questo scenario in qualsiasi ordine.

Il processo di esportazione degli eventi nel sistema SIEM prevede i seguenti passaggi:

• Configurazione del sistema SIEM per la ricezione di eventi da Kaspersky Security Center

  Istruzioni dettagliate: Configurazione dell'esportazione di eventi in un sistema SIEM

• Selezione degli eventi che si desidera esportare nel sistema SIEM:

  Istruzioni dettagliate:

  • Administration Console: Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog, Contrassegno di eventi generici per l'esportazione nel formato Syslog
  • Kaspersky Security Center 13.1 Web Console: Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog, Contrassegno di eventi generali per l'esportazione nel formato Syslog
• Configurazione dell'esportazione degli eventi nel sistema SIEM utilizzando uno dei seguenti metodi:
  • Utilizzo dei protocolli TCP/IP, UDP o TLS su TCP.

    Istruzioni dettagliate:

    • Administration Console: Configurazione dell'esportazione di eventi nei sistemi SIEM
    • Kaspersky Security Center 13.1 Web Console: Configurazione dell'esportazione di eventi nei sistemi SIEM
  • Utilizzo dell'esportazione di eventi direttamente dal database di Kaspersky Security Center. È disponibile un set di visualizzazioni pubbliche nel database di Kaspersky Security Center. È possibile trovare la descrizione di queste visualizzazioni pubbliche nel documento klakdb.chm.

Risultati

Dopo aver configurato l'esportazione degli eventi nel sistema SIEM, è possibile visualizzare i risultati dell'esportazione se sono stati selezionati gli eventi da esportare.

Prima di iniziare

Espandi tutto | Comprimi tutto

Durante la configurazione dell'esportazione automatica degli eventi in Kaspersky Security Center, è necessario specificare alcune impostazioni del sistema SIEM. È consigliabile verificare preventivamente queste impostazioni per la preparazione della configurazione di Kaspersky Security Center.

Per configurare l'invio automatico degli eventi in un sistema SIEM, è necessario conoscere le seguenti impostazioni:

• Indirizzo server del sistema SIEM

  L'indirizzo IP del server in cui è installato il sistema SIEM utilizzato attualmente. Verificare questo valore nelle impostazioni del sistema SIEM.

• Porta server del sistema SIEM

  Numero della porta utilizzato per stabilire la connessione tra Kaspersky Security Center e il server del sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center e nelle impostazioni del destinatario del sistema SIEM.

• Protocollo

  Protocollo utilizzato per il trasferimento dei messaggi da Kaspersky Security Center al sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center e nelle impostazioni del destinatario del sistema SIEM.

Informazioni sugli eventi in Kaspersky Security Center

Kaspersky Security Center consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Le informazioni sugli eventi vengono salvate nel database di Administration Server. È possibile esportare queste informazioni in sistemi SIEM esterni. L'esportazione delle informazioni sugli eventi nei sistemi SIEM esterni consente agli amministratori dei sistemi SIEM di rispondere tempestivamente agli eventi del sistema di protezione che si verificano nei gruppi di amministrazione o dispositivi gestiti.

Tipi di evento

In Kaspersky Security Center sono disponibili i seguenti tipi di eventi:

• Eventi generici. Questi eventi si verificano in tutte le applicazioni Kaspersky gestite. Un esempio di evento generico è l'Epidemia di virus. Gli eventi generici hanno sintassi e semantica rigorosamente definite. Gli eventi generici vengono ad esempio utilizzati nei rapporti e nei dashboard.
• Eventi specifici delle applicazioni gestiti da Kaspersky. Ogni applicazione Kaspersky gestita dispone di uno specifico set di eventi.

Origini eventi

Gli eventi possono essere generati dalle seguenti applicazioni:

• Componenti di Kaspersky Security Center:
  • Administration Server
  • Network Agent
  • Server per dispositivi mobili MDM iOS
  • Server per dispositivi mobili Exchange
• Applicazioni Kaspersky gestite

  Per i dettagli sugli eventi generati dalle applicazioni gestite da Kaspersky, consultare la documentazione dell'applicazione corrispondente.

È possibile visualizzare l'elenco completo degli eventi che possono essere generati da un'applicazione nella scheda Configurazione eventi nel criterio dell'applicazione. Per l'Administration Server, è inoltre possibile visualizzare l'elenco degli eventi nelle proprietà dell'Administration Server.

Livello di importanza degli eventi

Ogni evento dispone di uno specifico livello di importanza. In base alle condizioni in cui si verifica, a un evento possono essere assegnati diversi livelli di importanza. Esistono quattro livelli di importanza degli eventi:

• Un evento critico è un evento che indica la presenza di un problema critico che può determinare una perdita dei dati, un malfunzionamento o un errore critico.
• Un errore funzionale è un evento che indica la presenza di un problema grave, un errore o un malfunzionamento che si è verificato durante l'esecuzione dell'applicazione o di una procedura.
• Un avviso è un evento che non è necessariamente grave, ma indica comunque un potenziale problema futuro. La maggior parte degli eventi viene designata come avviso se l'applicazione può essere ripristinata senza perdite di dati o funzionalità importanti dopo che si sono verificati tali eventi.
• Un evento informativo è un evento che si verifica allo scopo di segnalare il completamento di un'operazione, il corretto funzionamento dell'applicazione o il completamento di una procedura.

Ogni evento ha un periodo di archiviazione definito, durante il quale può essere visualizzato o modificato in Kaspersky Security Center. Alcuni eventi non vengono salvati nel database di Administration Server per impostazione predefinita, poiché il relativo periodo di archiviazione definito è pari a zero. Solo gli eventi che verranno memorizzati nel database di Administration Server per almeno un giorno possono essere esportati in sistemi esterni.

Informazioni sull'esportazione degli eventi

È possibile utilizzare l'esportazione degli eventi in sistemi centralizzati che gestiscono i problemi di protezione a livello tecnico e organizzativo, garantiscono servizi di monitoraggio della sicurezza e consolidano informazioni da diverse soluzioni. Si tratta di sistemi SIEM, che offrono analisi in tempo reale degli avvisi e degli eventi di protezione generati da applicazioni e hardware di rete o SOC (Security Operation Center).

Questi sistemi ricevono i dati da numerose origini, tra cui reti, sicurezza, server, database e applicazioni. I sistemi SIEM forniscono anche funzionalità per consolidare i dati monitorati ed evitare la perdita di eventi critici. Inoltre, questi sistemi eseguono analisi automatizzate di avvisi ed eventi correlati per inviare immediatamente agli amministratori una notifica dei problemi di protezione. Gli avvisi possono essere implementati tramite un dashboard o inviati tramite canali di terze parti, ad esempio via e-mail.

Il processo di esportazione degli eventi da Kaspersky Security Center ai sistemi SIEM esterni coinvolge due parti: un mittente degli eventi (Kaspersky Security Center) e il destinatario degli eventi (un sistema SIEM). Per eseguire l'esportazione degli eventi, è necessario configurare questa funzionalità nel sistema SIEM e in Kaspersky Security Center Administration Console. Non è importante quale lato viene configurato per primo. È possibile configurare la trasmissione degli eventi in Kaspersky Security Center, quindi configurare la ricezione degli eventi dal sistema SIEM o viceversa.

Metodi per l'invio degli eventi da Kaspersky Security Center

Esistono tre metodi per l'invio degli eventi da Kaspersky Security Center ai sistemi esterni:

• Invio degli eventi tramite il protocollo Syslog a qualsiasi sistema SIEM

  Utilizzando il protocollo Syslog è possibile inviare gli eventi che si verificano in Kaspersky Security Center Administration Server e nelle applicazioni Kaspersky installate nei dispositivi gestiti. Durante l'esportazione degli eventi tramite il protocollo Syslog, è possibile selezionare con precisione i tipi di eventi da inviare al sistema SIEM. Il protocollo Syslog è un protocollo standard per la registrazione dei messaggi. Per questo motivo, è possibile utilizzare il protocollo Syslog per esportare gli eventi in qualsiasi sistema SIEM.

• Invio degli eventi tramite i protocolli CEF e LEEF ai sistemi QRadar, Splunk e ArcSight

  È possibile utilizzare i protocolli CEF e LEEF per esportare eventi generali. Durante l'esportazione degli eventi tramite i protocolli CEF e LEEF, non si ha la possibilità di selezionare gli eventi specifici da esportare. Al contrario, vengono esportati tutti gli eventi generali. A differenza del protocollo Syslog, i protocolli CEF e LEEF non sono universali. I protocolli CEF e LEEF sono destinati ai sistemi SIEM appropriati (QRadar, Splunk e ArcSight). Di conseguenza, quando si sceglie di esportare gli eventi in uno di questi protocolli, utilizzare il parser richiesto per il sistema SIEM.

  Per esportare gli eventi tramite i protocolli CEF e LEEF, la funzionalità Integrazione con i sistemi SIEM deve essere attivata in Administration Server utilizzando una chiave di licenza attiva o un codice di attivazione valido.

• Direttamente dal database di Kaspersky Security Center in qualsiasi sistema SIEM

  Questo metodo di esportazione degli eventi può essere utilizzato per ricevere gli eventi direttamente da visualizzazioni pubbliche del database tramite query SQL. I risultati di una query vengono salvati in un file XML che può essere utilizzato come input dei dati per un sistema esterno. Solo gli eventi disponibili nelle visualizzazioni pubbliche possono essere esportati direttamente dal database.

Ricezione degli eventi da parte del sistema SIEM

Il sistema SIEM deve ricevere e analizzare correttamente gli eventi ricevuti da Kaspersky Security Center. A tale scopo, è necessario configurare correttamente il sistema SIEM. La configurazione dipende dallo specifico sistema SIEM in uso. Sono comunque previsti diversi passaggi generali per la configurazione di tutti i sistemi SIEM, ad esempio la configurazione del ricevitore e del parser.

Informazioni sulla configurazione dell'esportazione di eventi in un sistema SIEM

Espandi tutto | Comprimi tutto

Il processo di esportazione degli eventi da Kaspersky Security Center ai sistemi SIEM esterni coinvolge due parti: un mittente degli eventi (Kaspersky Security Center) e il destinatario di un evento (il sistema SIEM). È necessario configurare l'esportazione degli eventi nel sistema SIEM e in Kaspersky Security Center.

Le impostazioni specificate nel sistema SIEM dipendono dal particolare sistema in uso. In genere, per tutti i sistemi SIEM è necessario impostare un ricevitore ed eventualmente un parser dei messaggi per l'analisi degli eventi ricevuti.

Configurazione del ricevitore

Per la ricezione degli eventi inviati da Kaspersky Security Center, è necessario impostare il ricevitore nel sistema SIEM. In generale, le seguenti impostazioni devono essere specificate nel sistema SIEM:

• Protocollo di esportazione o tipo di input

  Si tratta del protocollo di trasferimento dei messaggi, TCP/IP o UDP. Questo protocollo deve corrispondere al protocollo specificato in Kaspersky Security Center.

• Porta

  Numero di porta per la connessione a Kaspersky Security Center. Questa porta deve corrispondere alla porta specificata in Kaspersky Security Center.

• Protocollo dei messaggi o tipo di origine

  Protocollo utilizzato per esportare gli eventi nel sistema SIEM. Può essere uno dei protocolli standard: Syslog, CEF o LEEF. Il sistema SIEM seleziona il parser dei messaggi in base al protocollo specificato.

A seconda del sistema SIEM in uso, potrebbe essere necessario specificare alcune impostazioni aggiuntive del ricevitore.

La figura seguente mostra la schermata di configurazione del ricevitore in ArcSight.

Configurazione del ricevitore in ArcSight

Parser dei messaggi

Gli eventi esportati vengono inviati ai sistemi SIEM come messaggi. Questi messaggi devono essere analizzati correttamente per consentire l'utilizzo delle informazioni sugli eventi nel sistema SIEM. I parser dei messaggi fanno parte del sistema SIEM: vengono utilizzati per suddividere il contenuto del messaggio nei campi appropriati, ad esempio l'ID degli eventi, la gravità, la descrizione, i parametri e così via. Questo consente al sistema SIEM di elaborare gli eventi ricevuti da Kaspersky Security Center in modo che possano essere memorizzati nel database del sistema SIEM.

Ogni sistema SIEM contiene un set di parser dei messaggi standard. Kaspersky offre inoltre parser dei messaggi per alcuni sistemi SIEM, ad esempio QRadar e ArcSight. È possibile scaricare questi parser dei messaggi dai siti Web dei sistemi SIEM corrispondenti. Durante la configurazione del ricevitore, è possibile scegliere di utilizzare uno dei parser dei messaggi standard o un parser dei messaggi di Kaspersky.

Contrassegno degli eventi per l'esportazione nei sistemi SIEM in formato Syslog

Questa sezione descrive come contrassegnare gli eventi per un'ulteriore esportazione nei sistemi SIEM in formato Syslog.

Informazioni sul contrassegno degli eventi per l'esportazione nel sistema SIEM in formato Syslog

Dopo aver abilitato l'esportazione automatica degli eventi, è necessario selezionare gli eventi da esportare nel sistema SIEM esterno.

È possibile configurare l'esportazione degli eventi in formato Syslog in un sistema esterno in base alle seguenti condizioni:

• Contrassegno di eventi generali. Se si contrassegnano gli eventi da esportare in un criterio, nelle impostazioni di un evento o nelle impostazioni di Administration Server, il sistema SIEM riceverà gli eventi contrassegnati che si sono verificati in tutte le applicazioni gestite dal criterio specifico. Se sono stati selezionati eventi esportati nel criterio, non sarà possibile ridefinirli per una singola applicazione gestita da questo criterio.
• Contrassegno degli eventi per un'applicazione gestita. Se si contrassegnano gli eventi da esportare per un'applicazione gestita installata in un dispositivo gestito, il sistema SIEM riceverà solo gli eventi che si sono verificati nell'applicazione.

Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog

Se si desidera esportare gli eventi che si sono verificati in una singola applicazione gestita installata in un dispositivo gestito, contrassegnare gli eventi per l'esportazione per l'applicazione. Se sono stati contrassegnati eventi esportati in precedenza nel criterio, non sarà possibile ridefinire gli eventi contrassegnati per una singola applicazione gestita da questo criterio.

Per contrassegnare gli eventi per l'esportazione per una singola applicazione gestita:

1. Nella struttura della console di Kaspersky Security Center selezionare il nodo Dispositivi gestiti e passare alla scheda Dispositivi.
2. Fare clic con il pulsante destro del mouse per aprire il menu di scelta rapida del dispositivo desiderato, quindi selezionare Proprietà.
3. Nella finestra delle proprietà del dispositivo visualizzata selezionare la sezione Applicazioni.
4. Nell'elenco delle applicazioni visualizzato selezionare l'applicazione di cui si desidera esportare gli eventi e fare clic sul pulsante Proprietà.
5. Nella finestra delle proprietà dell'applicazione selezionare la sezione Configurazione eventi.
6. Nell'elenco degli eventi visualizzato selezionare uno o più eventi che devono essere esportati nel sistema SIEM e fare clic sul pulsante Proprietà.
7. Nella finestra delle proprietà dell'evento visualizzata selezionare la casella di controllo Esporta nel sistema SIEM utilizzando Syslog per contrassegnare gli eventi selezionati per l'esportazione in formato Syslog. Deselezionare la casella di controllo Esporta nel sistema SIEM utilizzando Syslog per rimuovere il contrassegno dagli eventi selezionati per l'esportazione nel formato Syslog.

   Se in un criterio sono definite proprietà degli eventi, i campi di questa finestra non possono essere modificati.

   

   Finestra Proprietà evento

8. Fare clic su OK per salvare le modifiche.
9. Fare clic su OK nella finestra delle proprietà dell'applicazione e nella finestra delle proprietà del dispositivo.

Gli eventi contrassegnati verranno inviati al sistema SIEM nel formato Syslog. Gli eventi per i quali è stata deselezionata la casella di controllo Esporta nel sistema SIEM utilizzando Syslog, non verranno esportati in un sistema SIEM. L'esportazione inizierà non appena si attiva l'esportazione automatica e si selezionano gli eventi da esportare. Configurare il sistema SIEM per fare in modo che riceva gli eventi da Kaspersky Security Center.

Contrassegno di eventi generici per l'esportazione nel formato Syslog

Se si desidera esportare gli eventi che si sono verificati in tutte le applicazioni gestite in base a un criterio specifico, contrassegnare gli eventi da esportare nel criterio. In questo caso, non è possibile contrassegnare gli eventi per una singola applicazione gestita.

Per contrassegnare eventi generici per l'esportazione in un sistema SIEM:

1. Nella struttura della console di Kaspersky Security Center selezionare il nodo Criteri.
2. Fare clic con il pulsante destro del mouse per aprire il menu di scelta rapida del criterio desiderato, quindi selezionare Proprietà.
3. Nella finestra delle proprietà del criterio visualizzata selezionare la sezione Configurazione eventi.
4. Nell'elenco degli eventi visualizzato selezionare uno o più eventi che devono essere esportati nel sistema SIEM e fare clic sul pulsante Proprietà.

   Se è necessario selezionare tutti gli eventi, fare clic sul pulsante Seleziona tutto.

5. Nella finestra delle proprietà dell'evento visualizzata selezionare la casella di controllo Esporta nel sistema SIEM utilizzando Syslog per contrassegnare gli eventi selezionati per l'esportazione in formato Syslog. Deselezionare la casella di controllo Esporta nel sistema SIEM utilizzando Syslog per rimuovere il contrassegno dagli eventi selezionati per l'esportazione in formato Syslog.

   

   Finestra delle proprietà degli eventi di Administration Server

6. Fare clic su OK per salvare le modifiche.
7. Nella finestra delle proprietà del criterio fare clic su OK.

Gli eventi contrassegnati verranno inviati al sistema SIEM nel formato Syslog. Gli eventi per i quali è stata deselezionata la casella di controllo Esporta nel sistema SIEM utilizzando Syslog, non verranno esportati in un sistema SIEM. L'esportazione inizierà non appena si attiva l'esportazione automatica e si selezionano gli eventi da esportare. Configurare il sistema SIEM per fare in modo che riceva gli eventi da Kaspersky Security Center.

Informazioni sull'esportazione degli eventi utilizzando il formato Syslog

È possibile utilizzare il formato Syslog per esportare nei sistemi SIEM gli eventi che si verificano in Administration Server e in altre applicazioni Kaspersky installate nei dispositivi gestiti.

Syslog è un protocollo standard per la registrazione dei messaggi. Consente una separazione tra il software che genera i messaggi, il sistema che li archivia e il software che li segnala e li analizza. Ogni messaggio dispone di un codice che indica il tipo di software che ha generato il messaggio e di un livello di criticità.

Il formato Syslog è definito dai documenti RFC (Request for Comments) pubblicati da Internet Engineering Task Force (standard Internet). Per l'esportazione degli eventi da Kaspersky Security Center nei sistemi esterni viene utilizzato lo standard RFC 5424.

In Kaspersky Security Center è possibile configurare l'esportazione degli eventi per i sistemi esterni tramite il formato Syslog.

Il processo di esportazione comprende due passaggi:

1. Abilitazione dell'esportazione automatica degli eventi. In questo passaggio Kaspersky Security Center viene configurato in modo da inviare gli eventi al sistema SIEM. Kaspersky Security Center inizia a inviare gli eventi subito dopo l'abilitazione dell'esportazione automatica.
2. Selezione degli eventi da esportare nel sistema esterno. In questo passaggio è possibile selezionare gli eventi da esportare nel sistema SIEM.

Informazioni sull'esportazione degli eventi tramite i formati CEF e LEEF

È possibile utilizzare i formati CEF e LEEF per esportare nei sistemi SIEM gli eventi generali, nonché gli eventi trasferiti dalle applicazioni Kaspersky ad Administration Server. Il set di eventi per l'esportazione è predefinito e non è possibile selezionare gli eventi da esportare.

Per esportare gli eventi tramite i protocolli CEF e LEEF, la funzionalità Integrazione con i sistemi SIEM deve essere attivata in Administration Server utilizzando una chiave di licenza attiva o un codice di attivazione valido.

Selezionare il formato di esportazione in base al sistema SIEM in uso. Nella tabella seguente sono elencati i sistemi SIEM e i formati di esportazione corrispondenti.

Formati di esportazione degli eventi in un sistema SIEM

• LEEF (Log Event Extended Format)—Un formato di eventi personalizzato per IBM Security QRadar SIEM. QRadar può integrare, identificare ed elaborare gli eventi LEEF. Gli eventi LEEF devono utilizzare la codifica dei caratteri UTF-8. Informazioni dettagliate sul protocollo LEEF sono disponibili in IBM Knowledge Center.
• CEF (Common Event Format) è uno standard aperto per la gestione dei registri che migliora l'interoperabilità delle informazioni relative alla sicurezza ottenute da diversi dispositivi e applicazioni di rete e di protezione. CEF consente di utilizzare un formato comune per il registro eventi, permettendo di integrare e aggregare facilmente i dati per l'analisi da un sistema di gestione aziendale.

L'esportazione automatica significa che Kaspersky Security Center invii gli eventi generali al sistema SIEM. L'esportazione automatica degli eventi viene avviata subito dopo essere stata abilitata. In questa sezione viene descritto in dettaglio come abilitare l'esportazione automatica degli eventi.

Configurazione di Kaspersky Security Center per l'esportazione degli eventi nel sistema SIEM

Espandi tutto | Comprimi tutto

È possibile abilitare l'esportazione automatica degli eventi in Kaspersky Security Center.

È possibile esportare solo gli eventi generali dalle applicazioni gestite tramite i formati CEF e LEEF.  Gli eventi specifici delle applicazioni non possono essere esportati dalle applicazioni gestite tramite i formati CEF e LEEF. Se si desidera esportare gli eventi delle applicazioni gestite o un set di eventi personalizzato che è stato configurato tramite i criteri delle applicazioni gestite, è necessario esportare gli eventi nel formato Syslog.

Per abilitare l'esportazione automatica degli eventi:

1. Nella struttura della console di Kaspersky Security Center, selezionare l'Administration Server per cui si desidera esportare gli eventi.
2. Nell'area di lavoro dell'Administration Server selezionato selezionare la scheda Eventi.
3. Fare clic sulla freccia a discesa accanto al collegamento Configura notifiche ed esportazione eventi e selezionare Configura esportazione nel sistema SIEM nell'elenco a discesa.

   Verrà visualizzata la finestra delle proprietà degli eventi, con la sezione Esportazione degli eventi visualizzata.

4. Nella sezione Esportazione degli eventi specificare le seguenti impostazioni di esportazione:

   

   Sezione di esportazione degli eventi della finestra delle proprietà dell'evento

   • Esporta automaticamente gli eventi nel database del sistema SIEM

     Selezionare questa casella di controllo per abilitare l'esportazione automatica degli eventi nei sistemi SIEM. Selezionando questa casella di controllo vengono abilitati tutti i campi nella sezione Esportazione degli eventi.

   • Sistema SIEM

     Selezionare il sistema SIEM per l'esportazione degli eventi: QRadar (formato LEEF), ArcSight (formato CEF), Splunk (formato CEF) e formato Syslog (RFC 5424).

   • Indirizzo server del sistema SIEM

     Specificare l'indirizzo server del sistema SIEM. Un indirizzo può essere specificato come nome DNS o NetBIOS o come indirizzo IP.

   • Porta server del sistema SIEM

     Specificare il numero della porta per la connessione al server del sistema SIEM. Il numero della porta deve essere identico a quello utilizzato dal sistema SIEM per ricevere gli eventi (per informazioni dettagliate vedere la sezione Configurazione di un sistema SIEM).

   • Protocollo

     Selezionare il protocollo da utilizzare per il trasferimento dei messaggi al sistema SIEM. È possibile selezionare il protocollo TCP/IP, UDP o TLS su TCP.

     Specificare le seguenti impostazioni TLS se si seleziona il protocollo TLS su TCP:

     • Autenticazione server SIEM

       Scegliere uno dei seguenti modi per autenticare il server di sistema SIEM:

       • Utilizzando i certificati dell'autorità di certificazione. È possibile ricevere un file con un elenco dei certificati da un'autorità di certificazione (CA) attendibile e caricare il file in Kaspersky Security Center. Kaspersky Security Center verifica se anche il certificato del server di sistema SIEM è firmato da un'autorità di certificazione attendibile o meno.

         Per aggiungere un certificato attendibile, fare clic sul pulsante Sfoglia, quindi caricare il certificato.

         Se si seleziona l'opzione Utilizzando i certificati dell'autorità di certificazione, è possibile specificare i nomi dei soggetti nel campo Soggetti dei certificati server (facoltativo). Il nome del soggetto è un nome di dominio per il quale viene ricevuto il certificato. Kaspersky Security Center non può connettersi al server di sistema SIEM se il nome di dominio del server di sistema SIEM non corrisponde al nome del soggetto del certificato del server di sistema SIEM. Tuttavia, il server di sistema SIEM può modificare il proprio nome di dominio se si modifica il nome del soggetto nel certificato. A tale scopo, specificare i nomi dei soggetti nel campo Soggetti dei certificati server (facoltativo). Se uno dei nomi dei soggetti specificati corrisponde al nome del soggetto del certificato di sistema SIEM, Kaspersky Security Center convalida il certificato del server di sistema SIEM.

       • Utilizzando le identificazioni personali SHA-1 dei certificati server. È possibile specificare le identificazioni personali SHA-1 dei certificati di sistema SIEM in Kaspersky Security Center Cloud Console. Per aggiungere un'identificazione personale SHA-1, inserirla nel campo sotto l'opzione.
     • Autenticazione client

       Per l'autenticazione del client, è possibile inserire il certificato o generarlo in Kaspersky Security Center.

       • Inserire il certificato. È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. Per inserire un certificato esistente, fare clic sul pulsante Cerca certificato. Nella finestra Certificato visualizzata, scegliere uno dei seguenti tipi di certificato, quindi specificare il certificato e la relativa chiave privata:
         • Certificato X.509. Caricare un file con una chiave privata nel campo Chiave privata (*.prk, *.pem) e un file con un certificato nel campo Certificato (*.cer). A tale scopo, fare clic sul pulsante Sfoglia a destra del campo corrispondente, quindi aggiungere il file richiesto. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Dopo aver caricato entrambi i file, specificare la password per la decodifica della chiave privata nel campo Password. La password può avere un valore vuoto se la chiave privata non è codificata.
         • Contenitore PKCS #12. Caricare un singolo file che contenga un certificato e la relativa chiave privata nel campo File di certificato. A tale scopo, fare clic sul pulsante Sfoglia a destra del campo, quindi aggiungere il file richiesto. Dopo aver caricato il file, specificare la password per la decodifica della chiave privata nel campo Password. La password può avere un valore vuoto se la chiave privata non è codificata.
       • Generare la chiave. È possibile generare un certificato autofirmato in Kaspersky Security Center. Facendo clic sul pulsante Genera certificato, quindi immettere un nome del soggetto nel campo Soggetto. Il certificato client viene generato per questo nome del soggetto e l'identificazione personale SHA-1 di questo certificato viene visualizzata nel campo Identificazione personale SHA-1 del certificato client. Di conseguenza, Kaspersky Security Center archivia il certificato autofirmato generato ed è possibile passare la parte pubblica del certificato o l'identificazione SHA-1 al sistema SIEM.

   Se si seleziona il formato Syslog, è necessario specificare:

   • Dimensioni massime messaggi (byte)

     Specificare la dimensione massima (in byte) di un messaggio inviato al sistema SIEM. Ciascun evento viene inviato in un messaggio. Se la durata effettiva di un messaggio è superiore al valore specificato, il messaggio viene troncato e può verificarsi una perdita di dati. Le dimensioni predefinite sono 2048 byte. Questo campo è disponibile solo se stato è selezionato il formato Syslog nel campo Sistema SIEM.

5. Se si desidera esportare nel database del sistema SIEM gli eventi che si verificavano dopo una data specificata in precedenza, fare clic sul pulsante Esporta archivio e specificare la data di avvio dell'esportazione degli eventi. Per impostazione predefinita, l'esportazione degli eventi viene avviata subito dopo l'abilitazione.
6. Fare clic su OK.

L'esportazione automatica degli eventi è abilitata.

Dopo aver abilitato l'esportazione automatica degli eventi, è necessario selezionare gli eventi da esportare nel sistema SIEM.

Esportazione degli eventi direttamente dal database

È possibile recuperare gli eventi direttamente dal database di Kaspersky Security Center senza dover utilizzare l'interfaccia di Kaspersky Security Center. È possibile eseguire direttamente le query sulle visualizzazioni pubbliche e recuperare i dati degli eventi o creare le proprie visualizzazioni sulla base delle visualizzazioni pubbliche esistenti e configurarle in modo che recuperino i dati necessari.

Visualizzazioni pubbliche

Per maggiore praticità, è disponibile un set di visualizzazioni pubbliche nel database di Kaspersky Security Center. È possibile trovare la descrizione di queste visualizzazioni pubbliche nel documento klakdb.chm.

La visualizzazione pubblica v_akpub_ev_event contiene un set di campi che rappresentano i parametri degli eventi nel database. Nel documento klakdb.chm è inoltre possibile trovare informazioni sulle visualizzazioni pubbliche che corrispondono ad altre entità di Kaspersky Security Center, ad esempio dispositivi, applicazioni o utenti. È possibile utilizzare queste informazioni nelle query.

Questa sezione contiene le istruzioni per la creazione di una query SQL tramite l'utilità klsql2 e un esempio di query.

Per creare query SQL o visualizzazioni di database, è anche possibile utilizzare qualsiasi altro programma per l'utilizzo dei database. Le informazioni su come visualizzare i parametri per la connessione al database di Kaspersky Security Center, ad esempio il nome istanza e il nome database, sono indicate nella sezione corrispondente.

Creazione di una query SQL tramite l'utilità klsql2

Questa sezione descrive come scaricare e utilizzare l'utilità klsql2 e come creare una query SQL utilizzando questa utilità. Quando si crea una query SQL tramite l'utilità klsql2, non è necessario specificare il nome del database e i parametri di accesso, perché la query fa direttamente riferimento alle visualizzazioni pubbliche di Kaspersky Security Center.

Per scaricare e utilizzare l'utilità klsql2:

1. Scaricare l'utilità klsql2 dal sito Web di Kaspersky.
2. Copiare ed estrarre il file klsql2.zip scaricato in una cartella nel dispositivo in cui è installato Kaspersky Security Center Administration Server.

   Il pacchetto klsql2.zip contiene i seguenti file:

   • klsql2.exe
   • src.sql
   • start.cmd
3. Aprire il file src.sql in qualsiasi editor di testo.
4. Nel file src.sql digitare la query SQL desiderata e salvare il file.
5. Nel dispositivo in cui è installato Kaspersky Security Center Administration Server digitare nella riga di comando il seguente comando per eseguire la query SQL dal file src.sql e salvare i risultati nel file result.xml:

   klsql2 -i src.sql -o result.xml

6. Aprire il file result.xml creato per visualizzare i risultati della query.

È possibile modificare il file src.sql e creare qualsiasi query sulle visualizzazioni pubbliche. Eseguire la query dalla riga di comando e salvare i risultati in un file.

Esempio di una query SQL nell'utilità klsql2

Questa sezione fornisce un esempio di query SQL, creata tramite l'utilità klsql2.

Il seguente esempio illustra il recupero degli eventi che si sono verificati nei dispositivi negli ultimi sette giorni e la visualizzazione degli eventi ordinati in base all'ora in cui si sono verificati. Gli eventi più recenti vengono visualizzati per primi.

Visualizzazione del nome del database di Kaspersky Security Center

Espandi tutto | Comprimi tutto

Può essere utile conoscere il nome di un database se è necessario, ad esempio, inviare una query SQL e connettersi al database dall'editor di script SQL.

Per visualizzare il nome del database di Kaspersky Security Center:

1. Nella struttura della console di Kaspersky Security Center aprire il menu di scelta rapida della cartella Administration Server e selezionare Proprietà.
2. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Avanzate, quindi Dettagli del database corrente.
3. Nella sezione Dettagli del database corrente esaminare le seguenti proprietà del database (vedere la figura di seguito):
   • Nome istanza

     Nome dell'istanza di database di Kaspersky Security Center corrente. Il valore predefinito è .\KAV_CS_ADMIN_KIT.

   • Nome database

     Nome del database SQL Kaspersky Security Center. Il valore predefinito è KAV.

   

   Sezione con le informazioni sul database corrente di Administration Server

4. Fare clic sul pulsante OK per chiudere la finestra delle proprietà dell'Administration Server.

Utilizzare il nome del database per fare riferimento al database nelle query SQL.

Visualizzazione dei risultati dell'esportazione

È possibile controllare il completamento della procedura di esportazione degli eventi. A tale scopo, controllare se i messaggi con gli eventi esportati vengono ricevuti dal sistema SIEM.

Se gli eventi inviati da Kaspersky Security Center vengono ricevuti e analizzati correttamente dal sistema SIEM, la configurazione su entrambi i lati è stata eseguita correttamente. In caso contrario, controllare le impostazioni specificate in Kaspersky Security Center rispetto alla configurazione del sistema SIEM.

La figura seguente illustra gli eventi esportati in ArcSight. Ad esempio, il primo evento è un evento critico di Administration Server: "Lo stato del dispositivo è Critico".

La rappresentazione degli eventi esportati nel sistema SIEM varia in base al sistema SIEM in uso.

Esempio di eventi