Подключение Kaspersky Security Center через Syslog

Отправка событий по протоколу Syslog в KOMRAD

Предварительные условия:

• KSC уже установлен и настроен для работы
• Наличие лицензии (разрешения) на использование Syslog-коллектора в KOMRAD (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о лицензии)
• Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD

Порядок настройки в KSC:

Настройте параметры отправки Syslog: выберите "Сервер администрирования" ⇒ "События" ⇒ "Настроить параметры уведомления и экспорта событий" ⇒ "Настроить экспорт в SIEM систему".

В поле "SIEM-система" выберите формат, который установлен у Вас в качестве активного автоматического парсера в KOMRAD. Например: Syslog (RFC5424) format. Протокол (TCP или UDP) можно выбрать любой. Рекомендуем TCP.

Далее в "Свойствах Сервера администрирования" в разделе "Настройка событий" выберите события, которые необходимо отправлять в SIEM, в свойствах поставьте галочку напротив параметра "Экспортировать в SIEM-систему по протоколу Syslog".

Поиск событий возможен по условиям vendor:”kaspersky” или vendor:”kaspersky” AND type:”syslog”, введенным в поле "Настройка фильтра" в разделе "События".

подсказка

Фильтры (28 шт.) и директивы корреляции (28 шт.) под источник событий можно скачать в рамках расширенной технической поддержки