Kaspersky Security для контейнеров

Настройка интеграции с SIEM-системами

Kaspersky Security для контейнеров позволяет подключаться к

, чтобы отправлять сообщения о событиях для их анализа и последующего реагирования на потенциальные угрозы. В сообщениях передаются данные по тем же типам и категориям событий, которые регистрируются в журнале событий безопасности. Также передача данных о событиях мониторинга узлов кластера осуществляется путем интеграции с SIEM-системами и связывания с ними групп агентов.

Сообщение в SIEM-систему передается в формате

, например:

CEF:0|Kaspersky|Kaspersky Container Security|2.0|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success

Передаваемое сообщение состоит из следующих компонентов:

  • Заголовок , в котором указывается дата, время и имя хост-узла.
  • Префикс и номер версии CEF.
  • Поставщик устройства.
  • Название решения.
  • Версия решения.
  • Генерируемый решением уникальный код типа события.
  • Описание события.
  • Оценка критичности события.
  • Дополнительная информация, которая может включать в себя IP-адрес устройства, причину возникновения события, а также результат или статус события.

Более подробная информация о компонентах представлена в таблице сопоставления значений CEF-сообщения.

В этом разделе справки

Сопоставление полей в CEF-сообщении

Создание интеграции с SIEM-системой

Связывание групп агентов с SIEM-системой

Просмотр и изменение параметров интеграции с SIEM-системой

Удаление интеграции с SIEM-системой

В начало
[Topic 293678]

Сопоставление полей в CEF-сообщении

CEF-сообщения передаются на английском языке.

В таблице ниже перечислены основные компоненты заголовка и тела CEF-сообщения, которое передает Kaspersky Security для контейнеров.

Компоненты и значения компонентов CEF-сообщения

Компонент

Значение

Пример

Стандартный заголовок CEF-сообщения (англ. syslog header)

Заголовок передается в следующем виде: <дата> <время> <имя хост-сервера>.

Feb 18 10:07:28 host

Префикс и версия формата CEF

<CEF>:<версия>

CEF:0

Идентификатор события

Производитель решения (англ. Device Vendor)

Название решения (англ. Device Product)

Версия решения (англ. Device Version)

Kaspersky

Kaspersky Container Security

2.0

Уникальный идентификатор типа события (англ. Signature ID)

Kaspersky Security для контейнеров передает следующие идентификаторы типов события:

  • ADM-ХХХ – событие администрирования.
  • CVE-ХХХ – принятие риска в отношении уязвимости или истечение срока действия принятия такого риска.
  • MLW-ХХХ – принятие риска в отношении вредоносного ПО или истечение срока действия принятия такого риска.
  • NCMP-001 – несоответствие образа требованиям.
  • CMP-001 – соответствие образа требованиям.
  • SD-ХХХ – принятие риска в отношении конфиденциальных данных или истечение срока действия принятия такого риска.
  • MS-ХХХ – принятие риска в отношении ошибок конфигурации или истечение срока действия принятия такого риска.
  • CI-ХХХ – событие в процессе CI/CD.
  • PLC-ХХХ – событие при применении политики безопасности.
  • BNCH-ХХХ – событие при проверке кластера и узлов.
  • AG-ХХХ – событие, связанное с агентом.
  • SJ-ХХХ – событие при работе сканера.
  • RT-ХХХ – событие при проверке на соответствие лучшим практикам.
  • API-ХХХ – запрос к API-серверу.
  • PM-ХХХ – событие при реализации процессов.
  • FM-ХХХ – событие доступа к объектам файловой системы контейнера.
  • NT-ХХХ – сетевое соединение.
  • FPM-XXX – событие нарушения политики среды выполнения при реализации процесса.
  • FNT-XXX – событие нарушения политики среды выполнения сетевого соединения.
  • FFM-XXX – событие нарушения политики среды выполнения доступа к объектам файловой системы контейнера.
  • FFTP-XXX – событие нарушения политики среды выполнения в рамках компонента Защита от файловых угроз.

Некоторые из передаваемых решением идентификаторов типов событий:

  • ADM-001: User 1 added user 2 (Пользователь 1 добавил пользователя 2).
  • CVE-001: User 1 accepted risk for image XXX (Пользователь 1 принял риск в отношении образа ХХХ).
  • AG-002: Agent XXX is disconnected (Агент ХХХ отключен).
  • BNCH-003: YYY was passed while scanning XXX (Проверка YYY успешно пройдена при сканировании кластера ХХХ).
  • PLC-001: YYY was applied to image XXX (Политика YYY применена к образу ХХХ).
  • NCMP-001: Image XXX was marked as non-compliant (Образ ХХХ признан несоответствующим требованиям).
  • SD-008: XXX risk acceptance expires (Срок действия для принятия риска ХХХ истекает).

Описание события (англ. Name)

Передаваемое описание должно быть понятным пользователю и соотноситься с идентификатором типа события. Например, ADM – администрирование или PM – управление процессом.

Некоторые из передаваемых решением описаний событий:

  • Process management
  • File management
  • Networking

Критичность (важность) события (англ. Severity)

Критичность события определяется по шкале от 0 до 10 следующим образом:

  • 0-3 – низкий уровень.
  • 4-6 – средний уровень.
  • 7-8 – высокий уровень.
  • 9–10 – очень высокий уровень.

Критичность события оценивается в зависимости от типа события и статуса выполнения (Успешно или Ошибка).

Критичность оценивается, например, следующим образом:

  • Для событий PM (Process management) и NT (Networking):
    • Если статус события Audited или Blocked, критичность 7.
    • Если у события другой статус, критичность 3.
  • Для событий AG (Agents):
    • Если событие выполнено успешно, критичность 5.
    • Если событие выполнено с ошибкой, критичность 10.
  • Для событий API:
    • Если событие выполнено успешно, критичность 3.
    • Если событие выполнено с ошибкой, критичность 8.

Дополнительная информация о событии (англ. Extension)

Дополнительная информация может включать в себя один или несколько наборов пар "ключ – значение".

Информация о наборах пар "ключ – значение", которые передает Kaspersky Security для контейнеров, представлена по ссылке ниже.

Дополнительная информация о событии, которую передает Kaspersky Security для контейнеров

Ключ

Значение

Использование

source

Домен (имя пода) источника события (англ. Source name).

Во всех событиях

src

Один из следующих IP-адресов в сети IPv4 (англ. Source IP):

  • для сетевого трафика – IP-адрес источника соединения;
  • для событий администрирования – IP-адрес инициатора действия.

Во всех событиях

reason

Описание причины статуса выполнения Ошибка (англ. Reason)

Во всех событиях со статусом выполнения Ошибка, кроме PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

fname

Имя образа (артефакта) (англ. Artifact name)

CI-ХХХ, SJ-ХХХ, ADM-ХХХ, CVE-ХХХ, MLW-ХХХ, SD-ХХХ, MS-ХХХ, CMP-001, PLC-ХХХ, NCMP-001

suser

Имя пользователя, который инициировал действие (англ. Username)

Во всех событиях кроме PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

dpid

Идентификатор процесса (англ. PID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

spid

Идентификатор родительского процесса (англ. PPID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

flexString1

Действующий идентификатор группы (англ. EGID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

flexString2

Идентификатор контейнера (англ. Container ID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

outcome

Статус или режим выполнения (англ. Status). Значение определяется следующим образом:

  • Для событий среды выполнения (PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX) указывается значение режима выполнения (Аудит, Блокирование или Другое).
  • Для остальных событий указывается статус выполнения (Успешно или Ошибка). При статусе выполнения Ошибка решение также передает текст ошибки или код ошибки (reason).

Во всех событиях

request

Имя образа (англ. Image name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

fileHash

Хеш образа (англ. Image digest)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

act

Один из следующих типов операции (англ. Operation):

  • для файловых операций – тип операции (open, close, read, write, create, delete, chmod, chown, rename);
  • для сетевого трафика – направление и тип трафика (egress, ingress, egress_response, ingress_response);
  • для процессов – значение exec;
  • для операций компонента Защита от файловых угроз – значение ftp.

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

spt

Порт источника соединения (англ. Source port)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

dst

IP-адрес точки назначения соединения в сети IPv4 (англ. Destination IP)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

dpt

Порт точки назначения соединения (англ. Destination port)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

dproc

Название процесса (команда) (англ. Process name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

duid

Действующий идентификатор пользователя (англ. EUID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

filePermission

Права доступа к файлу (англ. mode_t mode)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

oldFilePath

Ранее использованный путь к файлу (англ. Old File Path)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

filePath

Путь к файлу (англ. Path)

Для событий доступа к объектам файловой системы контейнера filePath используется для передачи информации о новом пути к файлу (англ. New File Path).

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

deviceDirection

Тип соединения (англ. Traffic type)

Для входящих соединений указывается 0, для исходящих соединений – 1.

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cn1

Новый идентификатор процесса (англ. New PID)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs1

Имя кластера (англ. Cluster name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs2

Имя узла (англ. Node name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs3

Название пространства имен (англ. Namespace name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs4

Выполняемая команда (англ. Command)

Для событий доступа к объектам файловой системы контейнера cs4 используется для передачи информации о новом владельце (англ. NewOwner).

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs5

Имя пода (англ. Pod name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs6

Имя контейнера (англ. Container name)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

cs7

IP адрес узла (англ. Node IP)

PM-ХХХ, FM-ХХХ, NT-ХХХ, FPM-XXX, FNT-XXX, FFM-XXX, FFTP-XXX

В начало
[Topic 293652]

Создание интеграции с SIEM-системой

Чтобы создать интеграцию с SIEM-системой:

  1. В разделе Администрирование → Интеграции → SIEM-системы нажмите на кнопку Добавить SIEM-систему.

    Откроется боковая панель для ввода параметров SIEM-системы.

  2. На вкладке Общая информация укажите следующие обязательные параметры:
    • Название подключаемой SIEM-системы.
    • Протокол, по которому осуществляется подключение к SIEM-системе. По умолчанию выбрано TCP.
    • Адрес сервера SIEM-системы в одном из следующих форматов:
      • IPv4.
      • IPv6.
      • FQDN.
    • Порт, через который осуществляется подключение к SIEM-системе. Значение порта можно указать в диапазоне от 1 до 65535. По умолчанию установлено значение 514.
    • Категории событий, сообщения о которых будут экспортироваться в SIEM-систему. Для этого установите флажки рядом с одной или несколькими категориями событий из следующего списка:
      • Администрирование.
      • Обнаружение.
      • CI/CD.
      • Политики.
      • Ресурсы.
      • Сканеры.
      • Контроллер доступа.
      • События контейнеров.
      • API.

        Для просмотра событий в категориях Ресурсы, Сканеры, Контроллер доступа и События контейнеров требуется расширенная лицензия.

      По умолчанию выбраны все категории событий.

      Сообщения о выбранных категориях событий отправляются в указанную SIEM-систему вне зависимости от ее привязки к группам агентов.

  3. На вкладке События для групп агентов установите флажки рядом с одним или несколькими типами событий в рамках мониторинга состояния узлов в среде выполнения.

    Объем журнала передаваемых сообщений о событиях в среде выполнения может быть очень большим и может повлиять на имеющееся свободное дисковое пространство и сетевую нагрузку.

  4. Если вы хотите проверить корректность введенных параметров интеграции с SIEM-системой, нажмите на кнопку Проверить соединение.

    Решение проверяет соединение с SIEM-системой, если выбран протокол соединения TCP. Если выбран протокол соединения UDP, кнопка Проверить соединение неактивна.

  5. Нажмите на кнопку Сохранить.

В начало
[Topic 282786]

Связывание групп агентов с SIEM-системой

Связывание групп агентов с SIEM-системами осуществляется при создании групп агентов или изменении их параметров в разделе Компоненты → Агенты.

Для связывания группы агентов в Kaspersky Security для контейнеров необходимо иметь права на управление группами агентов, а также создать и настроить хотя бы одну интеграцию с SIEM-системой.

В начало
[Topic 283037]

Просмотр и изменение параметров интеграции с SIEM-системой

Чтобы просмотреть интеграцию с SIEM-системой:

  1. Откройте список интеграций с SIEM-системами в разделе Администрирование → Интеграции → SIEM-системы.
  2. Нажмите на название интеграции в списке интеграций.

Чтобы изменить параметры интеграции с SIEM-системой:

  1. В разделе Администрирование → Интеграции → SIEM-системы нажмите на название интеграции в списке интеграций.
  2. В открывшейся боковой панели при необходимости измените параметры интеграции следующим образом:
    1. На вкладке Общая информация измените следующие обязательные параметры:
      • Название SIEM-системы.
      • Протокол подключения к SIEM-системе.
      • Адрес сервера SIEM-системы.
      • Порт для подключения к SIEM-системе.
      • Категории экспортируемых событий.
    2. На вкладке События для групп агентов при необходимости измените список выбранных типов событий мониторинга сетевых узлов в среде выполнения.
  3. Если используется протокол соединения TCP, нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с SIEM-системой.
  4. Нажмите Сохранить.
В начало
[Topic 283085]

Удаление интеграции с SIEM-системой

Чтобы удалить интеграцию с SIEM-системой:

  1. Откройте список настроенных интеграций с SIEM-системами в разделе АдминистрированиеИнтеграцииSIEM-системы.
  2. Выберите интеграцию, которую хотите удалить, установив флажок в строке с названием интеграции.
  3. Нажмите на кнопку Удалить, которая расположена над таблицей.

    Кнопка Удалить становится активной после выбора одной или нескольких интеграций.

  4. Подтвердите удаление в открывшемся окне.

В начало
[Topic 283084]