Содержание
Настройка интеграции с SIEM-системами
Kaspersky Security для контейнеров позволяет подключаться к
, чтобы отправлять сообщения о событиях для их анализа и последующего реагирования на потенциальные угрозы. В сообщениях передаются данные по тем же типам и категориям событий, которые регистрируются в журнале событий безопасности. Также передача данных о событиях мониторинга узлов кластера осуществляется путем интеграции с SIEM-системами и связывания с ними групп агентов.Сообщение в SIEM-систему передается в формате
, например:CEF:0|Kaspersky|Kaspersky Container Security|2.0|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success
Передаваемое сообщение состоит из следующих компонентов:
- Заголовок , в котором указывается дата, время и имя хост-узла.
- Префикс и номер версии CEF.
- Поставщик устройства.
- Название решения.
- Версия решения.
- Генерируемый решением уникальный код типа события.
- Описание события.
- Оценка критичности события.
- Дополнительная информация, которая может включать в себя IP-адрес устройства, причину возникновения события, а также результат или статус события.
Более подробная информация о компонентах представлена в таблице сопоставления значений CEF-сообщения.
Сопоставление полей в CEF-сообщении
CEF-сообщения передаются на английском языке.
В таблице ниже перечислены основные компоненты заголовка и тела CEF-сообщения, которое передает Kaspersky Security для контейнеров.
Компоненты и значения компонентов CEF-сообщения
Компонент |
Значение |
Пример |
---|---|---|
Стандартный заголовок CEF-сообщения (англ. syslog header) |
Заголовок передается в следующем виде: |
|
Префикс и версия формата CEF |
|
|
Идентификатор события |
Производитель решения (англ. Device Vendor) Название решения (англ. Device Product) Версия решения (англ. Device Version) |
|
Уникальный идентификатор типа события (англ. Signature ID) |
Kaspersky Security для контейнеров передает следующие идентификаторы типов события:
|
Некоторые из передаваемых решением идентификаторов типов событий:
|
Описание события (англ. Name) |
Передаваемое описание должно быть понятным пользователю и соотноситься с идентификатором типа события. Например, ADM – администрирование или PM – управление процессом. |
Некоторые из передаваемых решением описаний событий:
|
Критичность (важность) события (англ. Severity) |
Критичность события определяется по шкале от 0 до 10 следующим образом:
Критичность события оценивается в зависимости от типа события и статуса выполнения (Успешно или Ошибка). |
Критичность оценивается, например, следующим образом:
|
Дополнительная информация о событии (англ. Extension) |
Дополнительная информация может включать в себя один или несколько наборов пар "ключ – значение". |
Информация о наборах пар "ключ – значение", которые передает Kaspersky Security для контейнеров, представлена по ссылке ниже. |
Дополнительная информация о событии, которую передает Kaspersky Security для контейнеров
В началоСоздание интеграции с SIEM-системой
Чтобы создать интеграцию с SIEM-системой:
- В разделе Администрирование → Интеграции → SIEM-системы нажмите на кнопку Добавить SIEM-систему.
Откроется боковая панель для ввода параметров SIEM-системы.
- На вкладке Общая информация укажите следующие обязательные параметры:
- Название подключаемой SIEM-системы.
- Протокол, по которому осуществляется подключение к SIEM-системе. По умолчанию выбрано TCP.
- Адрес сервера SIEM-системы в одном из следующих форматов:
- IPv4.
- IPv6.
- FQDN.
- Порт, через который осуществляется подключение к SIEM-системе. Значение порта можно указать в диапазоне от 1 до 65535. По умолчанию установлено значение 514.
- Категории событий, сообщения о которых будут экспортироваться в SIEM-систему. Для этого установите флажки рядом с одной или несколькими категориями событий из следующего списка:
- Администрирование.
- Обнаружение.
- CI/CD.
- Политики.
- Ресурсы.
- Сканеры.
- Контроллер доступа.
- События контейнеров.
- API.
Для просмотра событий в категориях Ресурсы, Сканеры, Контроллер доступа и События контейнеров требуется расширенная лицензия.
По умолчанию выбраны все категории событий.
Сообщения о выбранных категориях событий отправляются в указанную SIEM-систему вне зависимости от ее привязки к группам агентов.
- На вкладке События для групп агентов установите флажки рядом с одним или несколькими типами событий в рамках мониторинга состояния узлов в среде выполнения.
Объем журнала передаваемых сообщений о событиях в среде выполнения может быть очень большим и может повлиять на имеющееся свободное дисковое пространство и сетевую нагрузку.
- Если вы хотите проверить корректность введенных параметров интеграции с SIEM-системой, нажмите на кнопку Проверить соединение.
Решение проверяет соединение с SIEM-системой, если выбран протокол соединения TCP. Если выбран протокол соединения UDP, кнопка Проверить соединение неактивна.
- Нажмите на кнопку Сохранить.
Связывание групп агентов с SIEM-системой
Связывание групп агентов с SIEM-системами осуществляется при создании групп агентов или изменении их параметров в разделе Компоненты → Агенты.
Для связывания группы агентов в Kaspersky Security для контейнеров необходимо иметь права на управление группами агентов, а также создать и настроить хотя бы одну интеграцию с SIEM-системой.
В началоПросмотр и изменение параметров интеграции с SIEM-системой
Чтобы просмотреть интеграцию с SIEM-системой:
- Откройте список интеграций с SIEM-системами в разделе Администрирование → Интеграции → SIEM-системы.
- Нажмите на название интеграции в списке интеграций.
Чтобы изменить параметры интеграции с SIEM-системой:
- В разделе Администрирование → Интеграции → SIEM-системы нажмите на название интеграции в списке интеграций.
- В открывшейся боковой панели при необходимости измените параметры интеграции следующим образом:
- На вкладке Общая информация измените следующие обязательные параметры:
- Название SIEM-системы.
- Протокол подключения к SIEM-системе.
- Адрес сервера SIEM-системы.
- Порт для подключения к SIEM-системе.
- Категории экспортируемых событий.
- На вкладке События для групп агентов при необходимости измените список выбранных типов событий мониторинга сетевых узлов в среде выполнения.
- На вкладке Общая информация измените следующие обязательные параметры:
- Если используется протокол соединения TCP, нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с SIEM-системой.
- Нажмите Сохранить.
Удаление интеграции с SIEM-системой
Чтобы удалить интеграцию с SIEM-системой:
- Откройте список настроенных интеграций с SIEM-системами в разделе Администрирование → Интеграции → SIEM-системы.
- Выберите интеграцию, которую хотите удалить, установив флажок в строке с названием интеграции.
- Нажмите на кнопку Удалить, которая расположена над таблицей.
Кнопка Удалить становится активной после выбора одной или нескольких интеграций.
- Подтвердите удаление в открывшемся окне.