Подключение Kaspersky Security Center через Syslog
Предварительные условия:
- KSC уже установлен и настроен для работы
- Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
- Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Порядок настройки в KSC Windows
Настройте параметры отправки Syslog: выберите "Сервер администрирования" ⇒ "События" ⇒ "Настроить параметры уведомления и экспорта событий" ⇒ "Настроить экспорт в SIEM систему".
В поле "SIEM-система" выберите формат, который установлен у Вас в качестве активного автоматического парсера в KOMRAD. Например: Syslog (RFC5424) format. Протокол (TCP или UDP) можно выбрать любой. Рекомендуем TCP.
Далее в "Свойствах Сервера администрирования" в разделе "Нас�тройка событий" выберите события, которые необходимо отправлять в SIEM, в свойствах поставьте галочку напротив параметра "Экспортировать в SIEM-систему по протоколу Syslog".
Поиск событий возможен по условиям vendor:”kaspersky” или vendor:”kaspersky” AND type:”syslog”, введенным в поле "Настройка фильтра" в разделе "События".
Фильтры (28 шт.) и директивы корреляции (28 шт.) под источник событий можно скачать в рамках расширенной технической поддержки
Порядок настройки в KSC Linux
Настройте параметры интеграции: выберите "Параметры консоли" ⇒ "Интеграция".
В следующем разделе выберите "Интеграция" ⇒ "SIEM" и далее переключите флажок "Автоматически экспортировать события в базу SIEM-системы в положение "Включено".
Укажите адрес Syslog-коллектора, порт и соответствующий протокол, нажав на "Параметры".
Сохраните внесённые изменения.
Далее перейдите в "Устройства" ⇒ "Полит�ики и профили политик", выберите соответствующую политику для настройки отправки событий (KSC Network Agent, Сервер администрирования или одна из политик агентов KES - Windows или Linux).
Перейдите в раздел "Настройка событий", выберите уровень критичности сообщения и конкретный тип событий для отправки в KOMRAD, укажите "Экспортировать в SIEM-систему по протоколу Syslog", сохраните внесённые изменения, нажав "ОК".
Фильтры (28 шт.) и директивы корреляции (20 шт.) под источник событий можно скачать в рамках расширенной технической поддержки