Экспорт событий в SIEM-системы

В этом разделе описывается, как настроить экспорт событий в SIEM-системы.

Настройка экспорта событий в SIEM-системы

Open Single Management Platform позволяет настроить экспорт событий в SIEM-системы одним из следующих способов: экспорт в любую SIEM-систему, использующую формат Syslog, или экспорт событий в SIEM-системы непосредственно из базы данных Kaspersky Security Center. После завершения этого сценария Сервер администрирования автоматически отправляет события в SIEM-систему.

Предварительные требования

Перед началом настройки экспорта событий в Open Single Management Platform:

• Узнайте больше о методах экспорта событий.
• Убедитесь, что у вас есть значения системных параметров.

Вы можете выполнять шаги этого сценария в любом порядке.

Процесс экспорта событий в SIEM-систему состоит из следующих шагов:

• Настройка SIEM-системы для получения событий из Open Single Management Platform

  Инструкции: Настройка экспорта событий в SIEM-системе.

• Выбор событий, которые вы хотите экспортировать в SIEM-систему

  Отметьте события, которые вы хотите экспортировать в SIEM-систему. Отметьте общие события, которые возникают во всех управляемых приложениях "Лаборатории Касперского". Затем можно отметить события для экспорта для определенных управляемых приложений.

• Настройка экспорта событий в SIEM-систему

  Экспортировать события можно следующими способами:

  • Укажите протоколы TCP/IP, UDP или TLS over TCP.
  • Использование экспорта событий напрямую из базы данных Kaspersky Security Center. В базе данных Kaspersky Security Center представлен набор публичных представлений; вы можете найти описание этих общедоступных представлений в документе klakdb.chm.

Результаты

После настройки экспорта событий в SIEM-систему вы можете просматривать результаты экспорта, если вы выбрали события, которые хотите экспортировать.

Предварительные условия

Развернуть все | Свернуть все

При настройке автоматического экспорта событий в Open Single Management Platform необходимо указать некоторые параметры SIEM-системы. Рекомендуется уточнить эти параметры заранее, чтобы подготовиться к настройке Open Single Management Platform.

Для настройки автоматического экспорта событий в SIEM-систему необходимо знать значения следующих параметров:

• Адрес сервера SIEM-системы

  Адрес сервера, на котором установлена используемая SIEM-система. Это значение необходимо уточнить в настройках SIEM-системы.

• Порт сервера SIEM-системы

  Номер порта, по которому будет установлено соединение между Kaspersky Security Center и сервером SIEM-системы. Это значение необходимо указать в настройках Kaspersky Security Center и настройках приемника в SIEM-системе.

• Протокол

  Протокол, используемый для передачи сообщений из Kaspersky Security Center в SIEM-систему. Это значение необходимо указать в настройках Kaspersky Security Center и настройках приемника в SIEM-системе.

Об экспорте событий

Open Single Management Platform позволяет получать информацию о событиях, произошедших в процессе работы Сервера администрирования и приложений "Лаборатории Касперского", установленных на управляемых устройствах. Информация о событиях сохраняется в базе данных Сервера администрирования.

Вы можете использовать экспорт событий в централизованных системах, работающих с вопросами безопасности на организационном и техническом уровнях, обеспечивающих мониторинг систем безопасности и консолидирующих данные из различных решений. К ним относятся SIEM-системы, обеспечивающие анализ предупреждений систем безопасности и событий сетевого аппаратного обеспечения и приложений в режиме реального времени, а также центры управления безопасностью (Security Operation Center, SOC).

SIEM-системы получают данные из многих источников, включая сети, системы безопасности, серверы, базы данных и приложения. Они также обеспечивают функцию объединения обработанных данных, что не позволит вам пропустить критические события. Кроме того, эти системы выполняют автоматический анализ связанных событий и сигналов тревоги для уведомления администраторов о вопросах системы безопасности, требующих незамедлительного решения. Уведомления могут отображаться на панели индикаторов или рассылаться по сторонним каналам, например, по электронной почте.

В процедуре экспорта событий из Open Single Management Platform во внешние SIEM-системы участвуют две стороны: отправитель событий – Open Single Management Platform и получатель событий – SIEM-система. Для успешного экспорта событий необходимо выполнить настройки и в используемой SIEM-системе, и в Консоли администрирования Open Single Management Platform. Последовательность настройки не имеет значения: Вы можете либо сначала настроить отправку событий в Open Single Management Platform, а затем получение событий в SIEM-системе, либо наоборот.

Экспорт событий в формате Syslog

Вы можете отправлять события в формате Syslog в любую SIEM-систему. Используя формат Syslog, вы можете передавать любые события, произошедшие на Сервере администрирования и в приложениях "Лаборатории Касперского", установленных на управляемых устройствах. При экспорте событий в формате Syslog можно выбирать, какие именно события будут переданы в SIEM-систему.

Получение событий SIEM-системой

SIEM-система должна принимать и корректно анализировать события, получаемые из Open Single Management Platform. Для этого необходимо выполнить настройку SIEM-системы. Конфигурация зависит от конкретной используемой SIEM-системы. Однако в конфигурациях всех SIEM-систем существует ряд общих этапов, таких как настройка приемника и анализатора.

О настройке экспорта событий в SIEM-системе

В процедуре экспорта событий из Open Single Management Platform во внешние SIEM-системы участвуют две стороны: отправитель событий – Open Single Management Platform и получатель событий – SIEM-система. Экспорт событий необходимо настроить в используемой SIEM-системе и в Open Single Management Platform.

Настройки, выполняемые в SIEM-системе, зависят от того, какую систему вы используете. В общем случае для всех SIEM-систем необходимо настроить приемник сообщений и, при необходимости, анализатор сообщений, для того чтобы разложить полученные сообщения на поля.

Настройка приемника сообщений

Для SIEM-системы необходимо настроить приемник для получения событий, отправляемых Open Single Management Platform. В общем случае в SIEM-системе необходимо указать следующие параметры:

• Протокол экспорта

  Протокол передачи сообщений UDP, TCP или TLS, over TCP. Необходимо указать тот же протокол, который был выбран в Open Single Management Platform для передачи событий.

• Порт

  Укажите номер порта для подключения к Open Single Management Platform. Этот порт должен совпадать с портом, который вы указываете в Open Single Management Platform при настройке экспорта событий в SIEM-систему.

• Формат даты

  Укажите формат Syslog.

В зависимости от используемой SIEM-системы может потребоваться указать дополнительные параметры приемника сообщений.

На рисунке ниже приведен пример настройки приемника в ArcSight.

Настройка приемника в ArcSight

Анализатор сообщений

Экспортируемые события передаются в SIEM-систему в виде сообщений. Затем к этим сообщениям применяется анализатор, для того чтобы информация о событиях была должным образом передана в SIEM-систему. Анализатор сообщений встроен в SIEM-систему; он используется для разбиения сообщения на поля, такие как идентификатор сообщения, уровень важности, описание, параметры. В результате SIEM-система имеет возможность выполнять обработку событий, полученных из Open Single Management Platform, таким образом, чтобы они сохранялись в базе данных SIEM-системы.

Выбор событий для экспорта в SIEM-системы в формате Syslog

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться во внешнюю SIEM-систему.

Вы можете настроить экспорт событий в формате Syslog во внешнюю систему на основе одного из следующих условий:

• Выбор общих событий. Если вы выберите экспортируемые события в политике, в свойствах события или в свойствах Сервера администрирования, то в SIEM-систему будут переданы выбранные события, которые произошли во всех приложениях, управляемых данной политикой. Если экспортируемые события были выбраны в политике, вам не удастся их переопределить для отдельного приложения, управляемой этой политикой.
• Выбор событий для управляемого приложения. Если вы выбираете экспортируемые события для управляемого приложения, установленного на управляемых устройствах, то в SIEM-систему будут переданы только события, которые произошли в этом приложении.

О выборе событий для экспорта в SIEM-систему в формате Syslog

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться во внешнюю SIEM-систему.

Вы можете настроить экспорт событий в формате Syslog во внешнюю систему на основе одного из следующих условий:

• Выбор общих событий. Если вы выберите экспортируемые события в политике, в свойствах события или в свойствах Сервера администрирования, то в SIEM-систему будут переданы выбранные события, которые произошли во всех приложениях, управляемых данной политикой. Если экспортируемые события были выбраны в политике, вам не удастся их переопределить для отдельного приложения, управляемой этой политикой.
• Выбор событий для управляемого приложения. Если вы выбираете экспортируемые события для управляемого приложения, установленного на управляемых устройствах, то в SIEM-систему будут переданы только события, которые произошли в этом приложении.

Выбор событий приложений "Лаборатории Касперского" для экспорта в формате Syslog

Если вы хотите выполнить экспорт событий, произошедших в определенном управляемом приложении, установленном на управляемых устройствах, выберите события для экспорта политике приложения. В этом случае отмеченные события экспортируются со всех устройств, входящих в область действия политики.

Чтобы отметить события для экспорта для определенного управляемого приложения:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Политики и профили политик.
2. Выберите политику приложения, для которого нужно отметить события.

   Откроется окно свойств политики.

3. Перейдите в раздел Настройка событий.
4. Установите флажки рядом с событиями, которые требуется экспортировать в SIEM-систему.
5. Нажмите на кнопку Отметить для экспорта в SIEM-систему по протоколу Syslog.

   Также вы можете выбрать событие для экспорта в SIEM-систему в разделе Регистрация событий, который открывается по ссылке на событие.

6. Флажок () появляется в столбце Syslog для события или событий, которые вы отметили для экспорта в SIEM-систему.
7. Нажмите на кнопку Сохранить.

Отмеченные события из управляемого приложения готовы к экспорту в SIEM-систему.

Вы можете отметить, какие события экспортировать в SIEM-систему для конкретного управляемого устройства. В случае, если ранее экспортируемые события были выбраны в политике приложения, вам не удастся переопределить выбранные события для управляемого устройства.

Чтобы выбрать события для управляемого устройства:

1. В главном окне приложения перейдите в раздел Активы (Устройства) → Управляемые устройства.

   Отобразится список управляемых устройств.

2. Перейдите по ссылке с названием требуемого устройства в списке управляемых устройств.

   Откроется окно свойств выбранного устройства.

3. Перейти в раздел Приложения.
4. Перейдите по ссылке с названием требуемого приложения в списке приложений.
5. Перейдите в раздел Настройка событий.
6. Установите флажки рядом с событиями, которые требуется экспортировать в SIEM-систему.
7. Нажмите на кнопку Отметить для экспорта в SIEM-систему по протоколу Syslog.

   Также вы можете выбрать событие для экспорта в SIEM-систему в разделе Регистрация событий, который открывается по ссылке на событие.

8. Флажок () появляется в столбце Syslog для события или событий, которые вы отметили для экспорта в SIEM-систему.

Теперь Сервер администрирования отправляет в SIEM-систему выбранные события, если экспорт в SIEM-систему настроен.

Выбор общих событий для экспорта в формате Syslog

Вы можете отметить общие события, которые Сервер администрирования будет экспортировать в SIEM-системы, используя формат Syslog.

Чтобы выбрать общие события для экспорта в SIEM-систему:

1. Выполните одно из следующих действий:
   • В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.
   • В главном окне приложения перейдите в раздел Активы (Устройства) → Политики и профили политик, а затем перейдите по ссылке политики.
2. В открывшемся окне выберите вкладку Настройка событий.
3. Нажмите Отметить для экспорта в SIEM-систему по протоколу Syslog.

   Также вы можете выбрать событие для экспорта в SIEM-систему в разделе Регистрация событий, который открывается по ссылке на событие.

4. Флажок () появляется в столбце Syslog для события или событий, которые вы отметили для экспорта в SIEM-систему.

Теперь Сервер администрирования отправляет в SIEM-систему выбранные события, если экспорт в SIEM-систему настроен.

Об экспорте событий в формате Syslog

Используя формат Syslog можно выполнять экспорт в SIEM-системы событий, произошедших на Сервере администрирования и в других приложениях "Лаборатории Касперского", установленных на управляемых устройствах.

Syslog – это стандартный протокол регистрации сообщений. Этот протокол позволяет разделить программное обеспечение, генерирующее сообщения, систему, в которой хранятся сообщения, и программное обеспечение, выполняющее анализ и отчетность по сообщениям. Каждому сообщению присваивается код устройства, указывающий тип программного обеспечения, с помощью которого было создано сообщение, и уровень важности.

Формат Syslog определяется документами Request for Comments (RFC), опубликованными Internet Engineering Task Force. Стандарт RFC 5424 используется для экспорта событий из Open Single Management Platform во внешние системы.

В Open Single Management Platform можно настроить экспорт событий во внешние системы в формате Syslog.

Процесс экспорта состоит из двух шагов:

1. Включение автоматического экспорта событий. На этом шаге выполняется настройка Open Single Management Platform таким образом, чтобы выполнялась отправка событий в SIEM-систему. Отправка событий из Open Single Management Platform начинается сразу после включения автоматического экспорта.
2. Выбор событий, которые будут экспортироваться во внешнюю систему. На этом шаге вам нужно выбрать, какие события будут экспортироваться в SIEM-систему.

Настройка Open Single Management Platform для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Для экспорта событий в SIEM-систему необходимо настроить процесс экспорта в Open Single Management Platform.

Чтобы настроить экспорт в SIEM-системы из Консоли OSMP:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел SIEM.
3. Перейдите по ссылке Параметры.

   Откроется раздел Параметры экспорта.

4. Укажите параметры в разделе Параметры экспорта:
   • Адрес сервера SIEM-системы

     Адрес сервера, на котором установлена используемая SIEM-система. Это значение необходимо уточнить в настройках SIEM-системы.

   • Порт SIEM-системы

     Номер порта, по которому будет установлено соединение между Kaspersky Security Center и сервером SIEM-системы. Это значение необходимо указать в настройках Kaspersky Security Center и настройках приемника в SIEM-системе.

   • Протокол

     Выберите протокол передачи сообщений в SIEM-систему. Можно выбрать протокол TCP/IP или UDP. Протокол TCP/IP является более надежным и поддерживает уведомление о получении сообщений. Протокол UDP является более простым, он применяется в случаях, когда проверка и исправление ошибок передачи сообщений не обязательны или выполняются внутри приложения.

5. Вы можете экспортировать заархивированные события из базы данных Сервера администрирования и установить дату начала, с которой вы хотите начать экспорт заархивированных событий:
   1. Перейдите по ссылке Установите дату начала экспорта.
   2. В открывшемся разделе, укажите дату начала экспорта в поле Дата начала экспорта.
   3. Нажмите на кнопку ОК.
6. Переключите параметр в положение Автоматически экспортировать события в базу SIEM-системы Включено.
7. Чтобы убедиться, что соединение с SIEM-системой успешно настроено, нажмите на кнопку Проверить подключение.

   Соединение с сервером SIEM-системы установлено, и отправлено тестовое событие. Отобразится статус подключения.

8. Нажмите на кнопку Сохранить.

Экспорт в SIEM-систему настроен. Если вы настроили получение событий в SIEM-системе, Сервер администрирования экспортирует выбранные события в SIEM-систему. Если вы установите дату начала экспорта, Сервер администрирования также экспортирует выбранные события, хранящиеся в базе данных Сервера администрирования, с указанной даты.

Экспорт событий напрямую из базы данных

Вы можете извлекать события напрямую из базы данных Open Single Management Platform, не используя интерфейс Open Single Management Platform. Можно создавать запросы непосредственно к публичным представлениям и извлекать из них данные о событиях или создавать собственные представления на базе существующих публичных представлений и обращаться к ним для получения требуемых данных.

Публичные представления

Для вашего удобства в базе данных Open Single Management Platform предусмотрен набор публичных представлений. Описание публичных представлений приведено в документе klakdb.chm.

Публичное представление v_akpub_ev_event содержит набор полей, соответствующих параметрам событий в базе данных. В документе klakdb.chm также содержится информация о публичных представлениях, относящихся к другим объектам Open Single Management Platform, например, устройствам, приложениям, пользователям. Вы можете использовать эту информацию при создании запросов.

В этом разделе приведены инструкции по созданию SQL-запроса с помощью утилиты klsql2, а также пример такого запроса.

Вы также можете использовать любые другие приложения для работы с базами данных для создания SQL-запросов и представлений баз данных. Информация о том, как посмотреть параметры подключения к базе данных Open Single Management Platform, например, имя инстанса и имя базы данных, приведена в соответствующем разделе.

Выполнение SQL-запроса с помощью утилиты klsql2

В этой статье приведены инструкции по использованию утилиты klsql2, а также по выполнению SQL-запроса с использованием этой утилиты. Используйте версию утилиты klsql2, которая входит в вашу установленную версию Open Single Management Platform.

Чтобы использовать утилиту klsql2:

1. Перейдите в директорию, в которой установлен Сервер администрирования. По умолчанию задан путь /opt/kaspersky/ksc64/sbin.
2. В этой директории создайте пустой файл с расширением .sql.
3. Откройте созданный файл .sql с помощью любого текстового редактора.
4. В файле .sql введите требуемый SQL-запрос и сохраните файл.
5. На устройстве, на котором установлен Сервер администрирования, в командной строке введите следующую команду для выполнения SQL-запроса из файла .sql и сохранения результатов в файл result.xml:

   sudo ./klsql2 -i src.sql -u <имя пользователя> -p <пароль> -o result.xml

   где <имя пользователя> и <пароль> являются учетными данными учетной записи пользователя, имеющего доступ к базе данных.

6. При необходимости введите имя учетной записи и пароль пользователя, имеющего доступ к базе данных.
7. Откройте созданные файлы result.xml и просмотрите результаты выполнения SQL-запроса.

Вы можете изменять файл .sql и создавать в нем любые SQL-запросы к публичным представлениям. Затем с помощью команды в командной строке можно запустить запрос и сохранить результаты в файл.

Просмотр имени базы данных Open Single Management Platform

Для доступа к базе данных Open Single Management Platform с помощью MySQL или MariaDB необходимо знать имя базы данных, чтобы иметь возможность подключиться к ней из редактора скриптов SQL.

Чтобы просмотреть имя базы данных Open Single Management Platform:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Информация об используемой базе данных.

Имя базы данных указано в поле Имя базы данных. Используйте это имя базы данных для подключения и обращения к базе данных в ваших SQL-запросах.

Просмотр результатов экспорта

Вы можете узнать, успешно ли завершилась процедура экспорта. Для этого проверьте, были ли получены SIEM-системой сообщения, содержащие экспортируемые события.

Если отправленные из Open Single Management Platform события получены и правильно интерпретированы SIEM-системой, значит, настройка на обеих сторонах выполнена корректно. В противном случае проверьте и при необходимости исправьте настройки Open Single Management Platform и SIEM-системы.

Ниже приведен пример событий, экспортированных в систему ArcSight. Например, первое событие – это критическое событие Сервера администрирования: Статус устройства "Критический".

Отображение экспортированных событий зависит от используемой SIEM-системы.

Пример событий