Подключение Kaspersky Security Center через Syslog
Отправка событий по протоколу Syslog в Komrad
Предварительные условия:
-
KSC уже установлен и настроен для работы
-
Наличие лицензии (разрешения) на использование Syslog-коллектора в Komrad (см. Обзор графического интерфейса → О программе → Информация о лицензии)
-
Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером Komrad
Порядок настройки в KSC:
Настройте параметры отправки syslog: выберите "Сервер администрирования → События → Настроить параметры уведомления и экспорта событий → Настроить экспорт в SIEM систему".

В поле "SIEM-система" выберите формат, который установлен у вас в качестве активного автоматического парсера в Komrad. Например: Syslog (RFC5424) format
. Протокол (TCP или UDP) можно выбрать любой. Рекомендуем TCP.
Далее в Свойствах Сервера администрирования в разделе "Настройка событий" выберите события, которые необходимо отправлять в SIEM, в свойствах поставьте галочку напротив параметра "Экспортировать в SIEM-систему по протоколу Syslog".

Поиск событий возможен по условиям vendor:”kaspersky”
или vendor:”kaspersky” AND type:”syslog”
, введенным в поле "Настройка фильтра" в разделе "События".