Kaspersky Container Security

Configurar la integración a sistemas SIEM

Kaspersky Container Security le permite conectarse con

para enviar mensajes de eventos para analizar y responder ante posibles amenazas. Estos mensajes contienen datos para los mismos tipos y las categorías de eventos que se recogen en el registro de eventos de seguridad. También se transmiten los datos sobre eventos de supervisión de nodos en clústeres mediante la integración a sistemas SIEM y los enlaces de grupos de agentes.

Los mensajes se envían a un sistema SIEM en el formato

, por ejemplo:

CEF:0|Kaspersky|Kaspersky Container Security|2.0|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success

El mensaje transmitido está compuesto por los siguientes componentes:

  • Encabezado , que especifica el nombre de host, la fecha y la hora
  • Prefijo y número de la versión de CEF
  • Proveedor del dispositivo
  • Nombre de la solución
  • Versión de la solución
  • Código único del tipo de evento generado por la solución
  • Descripción del evento
  • Evaluación de la gravedad de un evento
  • Información adicional, como la dirección IP del dispositivo, el motivo del evento, el resultado del evento y el estado del evento

Para obtener información detallada sobre los componentes, consulte la tabla que contiene el significado de los valores de los mensajes CEF.

Contenido de esta sección:

Significado de los campos con mensajes CEF

Crear una integración a un sistema SIEM

Vincular grupos de agentes con un sistema SIEM

Visualizar y editar la configuración de la integración a sistemas SIEM

Eliminar la integración a un sistema SIEM

Inicio de página
[Topic 293678]

Significado de los campos con mensajes CEF

Los mensajes CEF enviados están en idioma inglés.

En la tabla siguiente, verá los principales componentes del encabezado y el cuerpo de los mensajes CEF que envía Kaspersky Container Security.

Componentes y valores de los componentes de los mensajes CEF

Componente

Valor

Ejemplo

Encabezado estándar del mensaje CEF (encabezado syslog)

El encabezado se envía en el siguiente formato: <fecha> <hora> <nombre del host del servidor>.

Feb 18 10:07:28 host

Prefijo y versión del formato CEF

<CEF>:<versión>

CEF:0

ID del evento

Proveedor del dispositivo

Producto en el dispositivo

Versión en el dispositivo

Kaspersky

Kaspersky Container Security

2.0

ID único del tipo de evento (ID de firma)

Kaspersky Container Security envía estos ID para los siguientes tipos de eventos:

  • ADM-ХХХ: evento de administración
  • CVE-XXX: aceptación del riesgo acerca de una vulnerabilidad y caducidad de la aceptación de dicho riesgo
  • MLW-XXX: aceptación del riesgo acerca de un malware o la caducidad de la aceptación de dicho riesgo
  • NCMP-001: incumplimiento de los requisitos de la imagen
  • CMP-001: cumplimiento de los requisitos de la imagen
  • SD-XXX: aceptación del riesgo acerca de datos confidenciales y caducidad de la aceptación de dicho riesgo
  • MS-XXX: aceptación del riesgo acerca de una configuración incorrecta y caducidad de la aceptación de dicho riesgo
  • CI-ХХХ: evento en el proceso de CI/CD
  • PLC-ХХХ: evento al aplicar una directiva de seguridad
  • BNCH-ХХХ: evento al analizar el clúster y los nodos
  • AG-ХХХ: evento relacionado con un agente
  • SJ-ХХХ: evento de análisis
  • RT-ХХХ: evento de la comprobación de una práctica recomendada
  • API-ХХХ: solicitud al servidor de una API
  • PM-ХХХ: evento al implementar procesos
  • FM-ХХХ: evento que implica el acceso al sistema de archivos del contenedor
  • NT-ХХХ: conexión de red
  • FPM-XXX: evento de infracción de una directiva referente a la ejecución durante un proceso
  • FNT-XXX: evento de infracción de una directiva referente a la ejecución relacionada con una conexión de red
  • FFM-XXX: evento de infracción de una directiva referente a la ejecución relacionada con el acceso a objetos en el sistema de archivos de un contenedor
  • FFTP-XXX: evento de infracción de una directiva referente a la ejecución relacionada con Protección frente a amenazas en archivos

Algunos de los ID de tipos de eventos que envía la solución:

  • ADM-001: User 1 added user 2
  • CVE-001: User 1 accepted risk for image XXX
  • AG-002: Agent XXX is disconnected
  • BNCH-003: YYY was passed while scanning XXX
  • PLC-001: YYY was applied to image XXX
  • NCMP-001: Image XXX was marked as non-compliant
  • SD-008: XXX risk acceptance expires

Descripción del evento (nombre)

La descripción debe poder ser leída por un usuario y relevante según el ID del tipo de evento. Por ejemplo, "Administration" (administración) para ADM o "Process management" (gestión de procesos) para PM.

Algunos de los nombres de los eventos que envía la solución:

  • Process management
  • File management
  • Networking

Importancia del evento (gravedad)

La gravedad de un evento se representa mediante una escala de 0-10 de la siguiente manera:

  • 0-3: baja
  • 4-6: media
  • 7-8: alta
  • 9-10: muy alta

La puntuación de gravedad de un evento depende del tipo y el estado del evento (Success o Failure).

Por ejemplo, la puntuación de gravedad puede determinarse de la siguiente manera:

  • Para los eventos PM (Process management [gestión de procesos]) y NT (Networking [redes]):
    • Si el estado del evento es Audited o Blocked, la gravedad será de 7.
    • Para cualquier otro estado, la gravedad será de 3.
  • Para los eventos AG (Agents [agentes]):
    • Si el evento ocurre de forma correcta, la gravedad será de 5.
    • Si se produce un error, la gravedad será de 10.
  • Para los eventos de API:
    • Si el evento ocurre de forma correcta, la gravedad será de 3.
    • Si se produce un error, la gravedad será de 8.

Información adicional del evento (extensión)

La información adicional podría incluir uno o más conjuntos de pares clave-valor.

A continuación, se detalla la información sobre los pares clave-valor que Kaspersky Container Security envía.

Información adicional sobre un evento que envía Kaspersky Container Security

Clave

Valor

Uso

source

Dominio (nombre del pod) del origen de eventos (nombre del origen)

En todos los eventos

src

Una de las siguientes direcciones IP en una red IPv4 (IP de origen):

  • para el tráfico de red: la dirección IP del origen de la conexión
  • para los eventos de administración: la dirección IP del iniciador de la acción

En todos los eventos

reason

Descripción del motivo del estado Error (motivo)

En todos los eventos que tengan el estado Error, salvo PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

fname

Imagen (artefacto) y nombre (nombre del artefacto)

CI-ХХХ, SJ-ХХХ, ADM-ХХХ, CVE-ХХХ, MLW-ХХХ, SD-ХХХ, MS-ХХХ, CMP-001, PLC-ХХХ, NCMP-001

suser

El nombre del usuario que inició la acción (nombre de usuario)

En todos los eventos, salvo PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

dpid

ID del proceso (PID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

spid

ID del proceso principal (PPID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

flexString1

ID del grupo vigente (EGID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

flexString2

ID del contenedor

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

outcome

Modo o estado de la ejecución (estado). El valor se define de la siguiente manera:

  • Para los eventos en el tiempo de ejecución (PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX), se especifica el modo de ejecución Audit, Enforce o Other.
  • Para los demás eventos, se especifica el estado de ejecución Success o Error. Si el estado es Error, la solución también envía el código o texto de error (reason).

En todos los eventos

request

Nombre de la imagen (nombre de imagen)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

fileHash

Hash de la imagen (código hash de la imagen)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

act

Uno de los siguientes tipos de operaciones (operación):

  • para operaciones en archivos: tipo de operación (open, close, read, write, create, delete, chmod, chown, rename)
  • para el tráfico de red: dirección y tipo de tráfico (egress, ingress, egress_response, ingress_response)
  • para procesos: valor exec
  • para operaciones de Protección frente a amenazas en archivos: valor ftp

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

spt

Puerto del origen de la conexión (puerto de origen)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

dst

Dirección IP del destinatario en la red IPv4 (IP del destino)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

dpt

Puerto del destino (puerto de destino)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

dproc

Nombre del proceso (comando) (nombre de proceso)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

duid

ID del usuario vigente (EUID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

filePermission

Permisos de acceso al archivo (mode_t mode).

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

oldFilePath

Ruta al archivo usada anteriormente (ruta anterior al archivo)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

filePath

Ruta al archivo (ruta)

En el caso de eventos que implican el acceso a objetos en el sistema de archivos de un contenedor, se usa filePath para pasar información sobre la nueva ruta al archivo (nueva ruta al archivo).

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

deviceDirection

Tipo de dirección de la conexión (tipo de tráfico):

0 para conexiones de entrada y 1 para conexiones de salida

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cn1

Nuevo identificador de proceso (PID nuevo)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs1

Nombre de un clúster (nombre de clúster)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs2

Nombre de un nodo (nombre de nodo)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs3

Nombre de un espacio de nombres (nombre de espacio de nombres)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs4

Comando ejecutado (comando)

En el caso de eventos que implican el acceso a objetos en el sistema de archivos de un contenedor, se usa cs4 para pasar información sobre el nuevo propietario del archivo (NewOwner).

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs5

Nombre del pod (nombre de pod)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs6

Nombre del contenedor (nombre de contenedor)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs7

Dirección IP del nodo (IP de nodo)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

Inicio de página

[Topic 293652]

Crear una integración a un sistema SIEM

Para añadir una integración a un sistema SIEM:

  1. En la sección AdministrationIntegrationsSIEM, haga clic en Add SIEM.

    Se mostrará una barra lateral, en donde puede introducir los parámetros del sistema SIEM.

  2. En la pestaña General, especifique los siguientes parámetros obligatorios:
    • Nombre del sistema SIEM.
    • Protocolo de la conexión con el sistema SIEM; el valor TCP está seleccionado de forma predeterminada.
    • Dirección del servidor del sistema SIEM en uno de los siguientes formatos:
      • IPv4
      • IPv6
      • FQDN
    • Puerto de la conexión con el sistema SIEM. Puede especificar puertos de 1-65535. El valor predeterminado es 514.
    • Categorías de eventos sobre los cuales desee exportar mensajes al sistema SIEM. Para configurar esto, elija las casillas de verificación que se encuentran junto a una o más categorías de eventos de la siguiente lista:
      • Administration
      • Alert
      • CI/CD
      • Policies
      • Resources
      • Scanners
      • Admission controller
      • Forensic data
      • API

        Deberá tener una licencia avanzada para ver los eventos de las categorías Resources, Scanners, Admission controller y Forensic data.

      De forma predeterminada, todos los estados están seleccionados.

      Se envían los mensajes sobre las categorías de eventos elegidas al sistema SIEM especificado, sin importar si está vinculado con los grupos de agentes.

  3. En la pestaña Agent group logs, elija las casillas de verificación que se encuentran junto a uno o más tipos de eventos, como parte de la supervisión de nodos durante el tiempo de ejecución.

    El registro de mensajes de eventos enviados al entorno de ejecución podría ser bastante pesado, lo que afectaría al espacio disponible en disco y la carga en la red.

  4. Si desea verificar si los parámetros especificados de la integración al sistema SIEM son correctos, haga clic en Test connection.

    La solución prueba la conexión con el sistema SIEM si se elige el protocolo de conexión TCP. Si se elige el protocolo de conexión UDP, el botón Test connection estará desactivado.

  5. Haga clic en Save.

Inicio de página

[Topic 282786]

Vincular grupos de agentes con un sistema SIEM

En la sección Components → Agents, puede vincular grupos de agentes con sistemas SIEM durante la creación de grupos de agentes o la modificación de los parámetros de los grupos de agentes.

Para vincular un grupo de agentes en Kaspersky Container Security, debe tener los derechos suficientes para administrar grupos de agentes y, además, debe haber creado y configurado al menos una integración a un sistema SIEM.

Inicio de página

[Topic 283037]

Visualizar y editar la configuración de la integración a sistemas SIEM

Para ver una integración a un sistema SIEM:

  1. En la sección AdministrationIntegrationsSIEM, abra la lista de integraciones a sistemas SIEM.
  2. En la lista de integraciones, haga clic en el nombre que desee.

Para editar la configuración de la integración al sistema SIEM:

  1. En la sección AdministrationIntegrationsSIEM, haga clic en el nombre de la integración en la lista de integraciones.
  2. De ser necesario, en la barra lateral que se observa, puede editar los parámetros de la integración de la siguiente manera:
    1. En la pestaña General, edite los siguientes parámetros obligatorios:
      • Nombre del sistema SIEM
      • Protocolo de la conexión con el sistema SIEM
      • Dirección del servidor del sistema SIEM
      • Puerto de la conexión con el sistema SIEM
      • Categorías de los eventos que se exportarán
    2. De ser necesario, en la pestaña Agent group logs, puede editar la lista elegida de tipos de eventos de supervisión en los nodos de la red durante el tiempo de ejecución.
  3. Si se usa el protocolo TCP para la conexión, haga clic en Test connection para ver si se puede establecer la conexión con el sistema SIEM.
  4. Haga clic en Save.
Inicio de página
[Topic 283085]

Eliminar la integración a un sistema SIEM

Para eliminar la integración a un sistema SIEM:

  1. En la sección AdministrationIntegrationsSIEM, abra la lista de integraciones a sistemas SIEM configuradas.
  2. Elija la casilla de verificación en la fila del nombre de la integración que desee eliminar.
  3. Haga clic en Delete por encima de la tabla.

    Podrá hacer clic en el botón Delete después de elegir al menos una integración.

  4. En la ventana que se abre, confirme la eliminación.

Inicio de página

[Topic 283084]