Подключение Kaspersky Security Center через Syslog

Отправка событий по протоколу Syslog в Komrad

Предварительные условия:

KSC уже установлен и настроен для работы
Наличие лицензии (разрешения) на использование Syslog-коллектора в Komrad (см. Обзор графического интерфейса → О программе → Информация о лицензии)
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером Komrad

Порядок настройки в KSC:

Настройте параметры отправки syslog: выберите "Сервер администрирования → События → Настроить параметры уведомления и экспорта событий → Настроить экспорт в SIEM систему".

В поле "SIEM-система" выберите формат, который установлен у вас в качестве активного автоматического парсера в Komrad. Например: Syslog (RFC5424) format. Протокол (TCP или UDP) можно выбрать любой. Рекомендуем TCP.

Поиск событий возможен по условиям vendor:”kaspersky” или vendor:”kaspersky” AND type:”syslog”, введенным в поле "Настройка фильтра" в разделе "События".