Kaspersky Security Center 14 Windows
Sommario
Configurazione di Kaspersky Security Center per l'esportazione degli eventi nel sistema SIEM
Espandi tutto | Comprimi tutto
Questo articolo descrive come configurare l'esportazione degli eventi nei sistemi SIEM.
Prima di inviare eventi al sistema SIEM (QRadar, ArcSight o Splunk), è necessario interpretare gli eventi Kaspersky Security Center in eventi in formato CEF e LEEF utilizzando le regole specificate nel file siem_conversion_rules.xml.
Per configurare l'esportazione nei sistemi SIEM in Kaspersky Security Center Web Console:
- Nell'elenco a discesa Impostazioni della console selezionare Integrazione.
Verrà visualizzata la finestra Impostazioni della console.
- Selezionare la scheda Integrazione.
- Nella scheda Integrazione selezionare la sezione SIEM.
- Fare clic sul collegamento Impostazioni.
Si aprirà la sezione Esporta impostazioni.
- Specificare le impostazioni nella sezione Esporta impostazioni:
- Indirizzo server del sistema SIEM
L'indirizzo IP del server in cui è installato il sistema SIEM utilizzato attualmente. Verificare questo valore nelle impostazioni del sistema SIEM.
- Porta del sistema SIEM
Numero della porta utilizzato per stabilire la connessione tra Kaspersky Security Center e il server del sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center e nelle impostazioni del destinatario del sistema SIEM.
- Protocollo
Selezionare il protocollo da utilizzare per il trasferimento dei messaggi al sistema SIEM. È possibile selezionare il protocollo TCP, UDP o TLS su TCP.
Specificare le seguenti impostazioni TLS se si seleziona il protocollo TLS su TCP:
- Autenticazione server
Nel campo Autenticazione server, è possibile selezionare i valori Certificati affidabili o Impronte digitali SHA:
- Certificati affidabili. È possibile ricevere una catena di certificati completa (incluso il certificato root) da un'autorità di certificazione (CA) attendibile e caricare il file in Kaspersky Security Center. Kaspersky Security Center verifica se anche la catena di certificati del server di sistema SIEM è firmata da un'autorità di certificazione attendibile o meno.
Per aggiungere un certificato attendibile, fare clic sul pulsante Cerca il file dei certificati CA, quindi caricare il certificato.
- Impronte digitali SHA. È possibile specificare le identificazioni personali SHA1 dell'intera catena di certificati del sistema SIEM (incluso il certificato root) in Kaspersky Security Center. Per aggiungere un'identificazione personale SHA1, immetterla nel campo Identificazioni personali, quindi fare clic sul pulsante Aggiungi.
Utilizzando l'impostazione Aggiungi autenticazione client, è possibile generare un certificato per autenticare Kaspersky Security Center. Pertanto, verrà utilizzato un certificato autofirmato emesso da Kaspersky Security Center. In questo caso, è possibile utilizzare sia un certificato attendibile che un'impronta digitale SHA per autenticare il server di sistema SIEM.
- Certificati affidabili. È possibile ricevere una catena di certificati completa (incluso il certificato root) da un'autorità di certificazione (CA) attendibile e caricare il file in Kaspersky Security Center. Kaspersky Security Center verifica se anche la catena di certificati del server di sistema SIEM è firmata da un'autorità di certificazione attendibile o meno.
- Aggiungi nome soggetto/nome alternativo soggetto
Il nome del soggetto è un nome di dominio per il quale viene ricevuto il certificato. Kaspersky Security Center non può connettersi al server di sistema SIEM se il nome di dominio del server di sistema SIEM non corrisponde al nome del soggetto del certificato del server di sistema SIEM. Tuttavia, il server di sistema SIEM può modificare il proprio nome di dominio se il nome è stato modificato nel certificato. In questo caso, è possibile specificare i nomi dei soggetti nel campo Aggiungi nome soggetto/nome alternativo soggetto. Se uno dei nomi dei soggetti specificati corrisponde al nome del soggetto del certificato di sistema SIEM, Kaspersky Security Center convalida il certificato del server di sistema SIEM.
- Aggiungi autenticazione client
Per l'autenticazione del client, è possibile inserire il certificato o generarlo in Kaspersky Security Center.
- Inserire il certificato. È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:
- Certificato X.509 PEM. Caricare un file con un certificato nel campo File con certificato e un file con una chiave privata nel campo File con la chiave. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file sono stati caricati, specificare la password per la decodifica della chiave privata nel campo Verifica password o certificato. La password può avere un valore vuoto se la chiave privata non è codificata.
- Certificato X.509 PKCS12. Caricare un singolo file che contenga un certificato e la relativa chiave privata nel campo File con certificato. Quando il file viene caricato, specificare la password per la decodifica della chiave privata nel campo Verifica password o certificato. La password può avere un valore vuoto se la chiave privata non è codificata.
- Genera chiave. È possibile generare un certificato autofirmato in Kaspersky Security Center. Di conseguenza, Kaspersky Security Center archivia il certificato autofirmato generato ed è possibile passare la parte pubblica del certificato o l'impronta digitale SHA1 al sistema SIEM.
- Inserire il certificato. È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:
- Autenticazione server
- Formato dei dati
È possibile selezionare i formati del registro di sistema, CEF o LEEF, a seconda dei requisiti del sistema SIEM.
Se si seleziona il formato Syslog, è necessario specificare:
- Dimensione massima del messaggio di evento in byte
Specificare la dimensione massima (in byte) di un messaggio inviato al sistema SIEM. Ciascun evento viene inviato in un messaggio. Se la durata effettiva di un messaggio è superiore al valore specificato, il messaggio viene troncato e può verificarsi una perdita di dati. Le dimensioni predefinite sono 2048 byte. Questo campo è disponibile solo se è stato selezionato il formato del registro di sistema nel campo Protocollo.
- Indirizzo server del sistema SIEM
- Spostare l'opzione sulla posizione Esporta automaticamente gli eventi nel database del sistema SIEM ABILITATO.
- Fare clic sul pulsante Salva.
L'esportazione nel sistema SIEM è configurata.
Vedere anche: |