Contenido
Configurar la integración a sistemas SIEM
Kaspersky Container Security le permite conectarse con
para enviar mensajes de eventos para analizar y responder ante posibles amenazas. Estos mensajes contienen datos para los mismos tipos y las categorías de eventos que se recogen en el registro de eventos de seguridad. También se transmiten los datos sobre eventos de supervisión de nodos en clústeres mediante la integración a sistemas SIEM y los enlaces de grupos de agentes.Los mensajes se envían a un sistema SIEM en el formato
, por ejemplo:CEF:0|Kaspersky|Kaspersky Container Security|2.0|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success
El mensaje transmitido está compuesto por los siguientes componentes:
- Encabezado , que especifica el nombre de host, la fecha y la hora
- Prefijo y número de la versión de CEF
- Proveedor del dispositivo
- Nombre de la solución
- Versión de la solución
- Código único del tipo de evento generado por la solución
- Descripción del evento
- Evaluación de la gravedad de un evento
- Información adicional, como la dirección IP del dispositivo, el motivo del evento, el resultado del evento y el estado del evento
Para obtener información detallada sobre los componentes, consulte la tabla que contiene el significado de los valores de los mensajes CEF.
Significado de los campos con mensajes CEF
Los mensajes CEF enviados están en idioma inglés.
En la tabla siguiente, verá los principales componentes del encabezado y el cuerpo de los mensajes CEF que envía Kaspersky Container Security.
Componentes y valores de los componentes de los mensajes CEF
Componente |
Valor |
Ejemplo |
---|---|---|
Encabezado estándar del mensaje CEF (encabezado syslog) |
El encabezado se envía en el siguiente formato: |
|
Prefijo y versión del formato CEF |
|
|
ID del evento |
Proveedor del dispositivo Producto en el dispositivo Versión en el dispositivo |
|
ID único del tipo de evento (ID de firma) |
Kaspersky Container Security envía estos ID para los siguientes tipos de eventos:
|
Algunos de los ID de tipos de eventos que envía la solución:
|
Descripción del evento (nombre) |
La descripción debe poder ser leída por un usuario y relevante según el ID del tipo de evento. Por ejemplo, "Administration" (administración) para ADM o "Process management" (gestión de procesos) para PM. |
Algunos de los nombres de los eventos que envía la solución:
|
Importancia del evento (gravedad) |
La gravedad de un evento se representa mediante una escala de 0-10 de la siguiente manera:
La puntuación de gravedad de un evento depende del tipo y el estado del evento (Success o Failure). |
Por ejemplo, la puntuación de gravedad puede determinarse de la siguiente manera:
|
Información adicional del evento (extensión) |
La información adicional podría incluir uno o más conjuntos de pares clave-valor. |
A continuación, se detalla la información sobre los pares clave-valor que Kaspersky Container Security envía. |
Información adicional sobre un evento que envía Kaspersky Container Security
Crear una integración a un sistema SIEM
Para añadir una integración a un sistema SIEM:
- En la sección Administration → Integrations → SIEM, haga clic en Add SIEM.
Se mostrará una barra lateral, en donde puede introducir los parámetros del sistema SIEM.
- En la pestaña General, especifique los siguientes parámetros obligatorios:
- Nombre del sistema SIEM.
- Protocolo de la conexión con el sistema SIEM; el valor TCP está seleccionado de forma predeterminada.
- Dirección del servidor del sistema SIEM en uno de los siguientes formatos:
- IPv4
- IPv6
- FQDN
- Puerto de la conexión con el sistema SIEM. Puede especificar puertos de 1-65535. El valor predeterminado es 514.
- Categorías de eventos sobre los cuales desee exportar mensajes al sistema SIEM. Para configurar esto, elija las casillas de verificación que se encuentran junto a una o más categorías de eventos de la siguiente lista:
- Administration
- Alert
- CI/CD
- Policies
- Resources
- Scanners
- Admission controller
- Forensic data
- API
Deberá tener una licencia avanzada para ver los eventos de las categorías Resources, Scanners, Admission controller y Forensic data.
De forma predeterminada, todos los estados están seleccionados.
Se envían los mensajes sobre las categorías de eventos elegidas al sistema SIEM especificado, sin importar si está vinculado con los grupos de agentes.
- En la pestaña Agent group logs, elija las casillas de verificación que se encuentran junto a uno o más tipos de eventos, como parte de la supervisión de nodos durante el tiempo de ejecución.
El registro de mensajes de eventos enviados al entorno de ejecución podría ser bastante pesado, lo que afectaría al espacio disponible en disco y la carga en la red.
- Si desea verificar si los parámetros especificados de la integración al sistema SIEM son correctos, haga clic en Test connection.
La solución prueba la conexión con el sistema SIEM si se elige el protocolo de conexión TCP. Si se elige el protocolo de conexión UDP, el botón Test connection estará desactivado.
- Haga clic en Save.
Vincular grupos de agentes con un sistema SIEM
En la sección Components → Agents, puede vincular grupos de agentes con sistemas SIEM durante la creación de grupos de agentes o la modificación de los parámetros de los grupos de agentes.
Para vincular un grupo de agentes en Kaspersky Container Security, debe tener los derechos suficientes para administrar grupos de agentes y, además, debe haber creado y configurado al menos una integración a un sistema SIEM.
Visualizar y editar la configuración de la integración a sistemas SIEM
Para ver una integración a un sistema SIEM:
- En la sección Administration → Integrations → SIEM, abra la lista de integraciones a sistemas SIEM.
- En la lista de integraciones, haga clic en el nombre que desee.
Para editar la configuración de la integración al sistema SIEM:
- En la sección Administration → Integrations → SIEM, haga clic en el nombre de la integración en la lista de integraciones.
- De ser necesario, en la barra lateral que se observa, puede editar los parámetros de la integración de la siguiente manera:
- En la pestaña General, edite los siguientes parámetros obligatorios:
- Nombre del sistema SIEM
- Protocolo de la conexión con el sistema SIEM
- Dirección del servidor del sistema SIEM
- Puerto de la conexión con el sistema SIEM
- Categorías de los eventos que se exportarán
- De ser necesario, en la pestaña Agent group logs, puede editar la lista elegida de tipos de eventos de supervisión en los nodos de la red durante el tiempo de ejecución.
- En la pestaña General, edite los siguientes parámetros obligatorios:
- Si se usa el protocolo TCP para la conexión, haga clic en Test connection para ver si se puede establecer la conexión con el sistema SIEM.
- Haga clic en Save.
Eliminar la integración a un sistema SIEM
Para eliminar la integración a un sistema SIEM:
- En la sección Administration → Integrations → SIEM, abra la lista de integraciones a sistemas SIEM configuradas.
- Elija la casilla de verificación en la fila del nombre de la integración que desee eliminar.
- Haga clic en Delete por encima de la tabla.
Podrá hacer clic en el botón Delete después de elegir al menos una integración.
- En la ventana que se abre, confirme la eliminación.