Configurazione di Kaspersky Security Center per l'esportazione degli eventi nel sistema SIEM

Espandi tutto | Comprimi tutto

Questo articolo descrive come configurare l'esportazione degli eventi nei sistemi SIEM.

Per configurare l'esportazione nei sistemi SIEM in Kaspersky Security Center 13.1 Web Console:

1. Nell'elenco a discesa Impostazioni della console selezionare Integrazione.

   Verrà aperta la finestra Impostazioni della console.

2. Selezionare la scheda Integrazione.
3. Nella scheda Integrazione selezionare la sezione SIEM.
4. Fare clic sul collegamento Impostazioni.

   Si aprirà la sezione Esporta impostazioni.

5. Specificare le impostazioni nella sezione Esporta impostazioni:
   • Indirizzo server del sistema SIEM

     L'indirizzo IP del server in cui è installato il sistema SIEM utilizzato attualmente. Verificare questo valore nelle impostazioni del sistema SIEM.

   • Porta del sistema SIEM

     Numero della porta utilizzato per stabilire la connessione tra Kaspersky Security Center e il server del sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center e nelle impostazioni del destinatario del sistema SIEM.

   • Protocollo

     Selezionare il protocollo da utilizzare per il trasferimento dei messaggi al sistema SIEM. È possibile selezionare il protocollo TCP/IP, UDP o TLS su TCP.

     Specificare le seguenti impostazioni TLS se si seleziona il protocollo TLS su TCP:

     • Autenticazione server

       Nel campo Autenticazione server, è possibile selezionare i valori Certificati affidabili o Impronte digitali SHA:

       • Certificati affidabili. È possibile ricevere un file con l'elenco dei certificati da un'autorità di certificazione (CA) attendibile e caricare il file in Kaspersky Security Center. Kaspersky Security Center verifica se anche il certificato del server di sistema SIEM è firmato da un'autorità di certificazione attendibile o meno.

         Per aggiungere un certificato attendibile, fare clic sul pulsante Cerca il file dei certificati CA, quindi caricare il certificato.

       • Impronte digitali SHA. È possibile specificare le identificazioni personali SHA-1 dei certificati di sistema SIEM in Kaspersky Security Center Cloud Console. Per aggiungere un'identificazione personale SHA-1, inserirla nel campo Identificazioni personali, quindi fare clic sul pulsante Aggiungi.

       Utilizzando l'impostazione Aggiungi autenticazione client, è possibile generare un certificato per autenticare Kaspersky Security Center. Pertanto, verrà utilizzato un certificato autofirmato emesso da Kaspersky Security Center. In questo caso, è possibile utilizzare sia un certificato attendibile che un'impronta digitale SHA per autenticare il server di sistema SIEM.

     • Aggiungi nome soggetto/nome alternativo soggetto

       Il nome del soggetto è un nome di dominio per il quale viene ricevuto il certificato. Kaspersky Security Center non può connettersi al server di sistema SIEM se il nome di dominio del server di sistema SIEM non corrisponde al nome del soggetto del certificato del server di sistema SIEM. Tuttavia, il server di sistema SIEM può modificare il proprio nome di dominio se il nome è stato modificato nel certificato. In questo caso, è possibile specificare i nomi dei soggetti nel campo Aggiungi nome soggetto/nome alternativo soggetto. Se uno dei nomi dei soggetti specificati corrisponde al nome del soggetto del certificato di sistema SIEM, Kaspersky Security Center convalida il certificato del server di sistema SIEM.

     • Aggiungi autenticazione client

       Per l'autenticazione del client, è possibile inserire il certificato o generarlo in Kaspersky Security Center.

       • Inserire il certificato. È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:
         • Certificato X.509 PEM. Caricare un certificato nel campo File con certificato e un file con una chiave privata nel campo File con la chiave. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file sono stati caricati, specificare la password per la decodifica della chiave privata nel campo Verifica password o certificato. La password può avere un valore vuoto se la chiave privata non è codificata.
         • Certificato X.509 PKCS12. Caricare un singolo file che contenga un certificato e la relativa chiave privata nel campo File con certificato. Quando il file viene caricato, specificare la password per la decodifica della chiave privata nel campo Verifica password o certificato. La password può avere un valore vuoto se la chiave privata non è codificata.
       • Genera chiave. È possibile generare un certificato autofirmato in Kaspersky Security Center. Di conseguenza, Kaspersky Security Center archivia il certificato autofirmato generato ed è possibile passare la parte pubblica del certificato o l'impronta digitale SHA1 al sistema SIEM.
   • Formato dei dati

     È possibile selezionare i formati Syslog, CEF o LEEF, a seconda dei requisiti del sistema SIEM.

   Se si seleziona il formato Syslog, è necessario specificare:

   • Dimensione massima del messaggio di evento in byte

     Specificare la dimensione massima (in byte) di un messaggio inviato al sistema SIEM. Ciascun evento viene inviato in un messaggio. Se la durata effettiva di un messaggio è superiore al valore specificato, il messaggio viene troncato e può verificarsi una perdita di dati. Le dimensioni predefinite sono 2048 byte. Questo campo è disponibile solo se è stato selezionato il formato Syslog nel campo Protocollo.

6. Spostare l'opzione sulla posizione Esporta automaticamente gli eventi nel database del sistema SIEM Abilitato.
7. Fare clic sul pulsante Salva.

L'esportazione nel sistema SIEM è configurata.