Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
RUSIEM Подключение Kaspersky Security Center 11: различия между версиями
Перейти к навигации
Перейти к поиску
Wikiadmin (обсуждение | вклад) |
Wikiadmin (обсуждение | вклад) |
||
| (не показано 8 промежуточных версий этого же участника) | |||
| Строка 1: | Строка 1: | ||
| − | ==Шаг 1. | + | ==Шаг 1. Настройка Kaspersky Security Center== |
| − | |||
| − | |||
| − | |||
| + | В дереве консоли "Kaspersky Security Center" выберите узел с именем Сервера администрирования, события которого необходимо экспортировать. | ||
[[Файл:Rusiem_ksc_1.png|border]] | [[Файл:Rusiem_ksc_1.png|border]] | ||
| − | + | В рабочей области выбранного Сервера администрирования перейдите на закладку '''"События"'''. | |
| − | В рабочей области выбранного Сервера администрирования перейдите на закладку События. | ||
| − | |||
[[Файл:Rusiem_ksc_3.png|900px|border]] | [[Файл:Rusiem_ksc_3.png|900px|border]] | ||
| − | + | Щелкните по стрелке рядом со ссылкой '''"Настроить параметры уведомлений и экспорта событий"''' и в раскрывающемся списке выберите значение '''"Настроить экспорт в SIEM-систему"'''. | |
| − | Щелкните по стрелке рядом со ссылкой Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите значение Настроить экспорт в SIEM-систему. | ||
| − | |||
[[Файл:Rusiem_ksc_4.png|900px|border]] | [[Файл:Rusiem_ksc_4.png|900px|border]] | ||
| Строка 27: | Строка 21: | ||
*'''Автоматически экспортировать события в базу SIEM-системы''' – установите этот флажок, для того чтобы включить автоматический экспорт событий в SIEM-систему. При установке этого флажка все поля в разделе Экспорт событий становятся доступными для редактирования. | *'''Автоматически экспортировать события в базу SIEM-системы''' – установите этот флажок, для того чтобы включить автоматический экспорт событий в SIEM-систему. При установке этого флажка все поля в разделе Экспорт событий становятся доступными для редактирования. | ||
*'''SIEM-система''' – выберите вариант Формат QRadr (LEEF-формат). | *'''SIEM-система''' – выберите вариант Формат QRadr (LEEF-формат). | ||
| − | *'''Адрес сервера SIEM-системы''' – укажите адрес сервера SIEM-системы. Адрес сервера можно указать в формате DNS- или NetBIOS‑имени или IP- | + | *'''Адрес сервера SIEM-системы''' – укажите адрес сервера SIEM-системы. Адрес сервера можно указать в формате DNS- или NetBIOS‑имени или '''IP-адрес'''а. |
*'''Порт сервера SIEM-системы''' – укажите номер порта для соединения с сервером SIEM-системы. Этот номер порта должен совпадать с номером порта, который вы указываете в настройках приемника SIEM-системы '''(Для syslog порт - 514)''' | *'''Порт сервера SIEM-системы''' – укажите номер порта для соединения с сервером SIEM-системы. Этот номер порта должен совпадать с номером порта, который вы указываете в настройках приемника SIEM-системы '''(Для syslog порт - 514)''' | ||
| − | *'''Протокол''' – выберите протокол передачи сообщений в SIEM-систему. Можно выбрать протокол TCP/IP или UDP. Протокол TCP/IP является более надежным и поддерживает уведомление о получении сообщений. Протокол UDP является более простым, он применяется в случаях, когда проверка и исправление ошибок передачи сообщений не обязательны или выполняются на стороне приложения. | + | *'''Протокол''' – выберите протокол передачи сообщений в SIEM-систему. Можно выбрать протокол '''TCP/IP''' или UDP. Протокол TCP/IP является более надежным и поддерживает уведомление о получении сообщений. Протокол UDP является более простым, он применяется в случаях, когда проверка и исправление ошибок передачи сообщений не обязательны или выполняются на стороне приложения. |
*'''Максимальный размер сообщения в байтах''' – укажите максимальный размер одного сообщения, в байтах, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. '''По умолчанию размер сообщения составляет 2048 байт'''. Данное поле доступно только в случае, если вы выбрали формат Syslog в поле SIEM-система. | *'''Максимальный размер сообщения в байтах''' – укажите максимальный размер одного сообщения, в байтах, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. '''По умолчанию размер сообщения составляет 2048 байт'''. Данное поле доступно только в случае, если вы выбрали формат Syslog в поле SIEM-система. | ||
| − | ==Шаг | + | ==Шаг 3. Проверка что все работает== |
[[Категория: RUSIEM]] | [[Категория: RUSIEM]] | ||
Текущая версия на 11:43, 26 ноября 2019
Шаг 1. Настройка Kaspersky Security Center
В дереве консоли "Kaspersky Security Center" выберите узел с именем Сервера администрирования, события которого необходимо экспортировать.
В рабочей области выбранного Сервера администрирования перейдите на закладку "События".
Щелкните по стрелке рядом со ссылкой "Настроить параметры уведомлений и экспорта событий" и в раскрывающемся списке выберите значение "Настроить экспорт в SIEM-систему".
Шаг 2. Настройка экспорта из Kaspersky Security Center в RUSIEM
В разделе "Экспорт событий" укажите следующие параметры:
- Автоматически экспортировать события в базу SIEM-системы – установите этот флажок, для того чтобы включить автоматический экспорт событий в SIEM-систему. При установке этого флажка все поля в разделе Экспорт событий становятся доступными для редактирования.
- SIEM-система – выберите вариант Формат QRadr (LEEF-формат).
- Адрес сервера SIEM-системы – укажите адрес сервера SIEM-системы. Адрес сервера можно указать в формате DNS- или NetBIOS‑имени или IP-адреса.
- Порт сервера SIEM-системы – укажите номер порта для соединения с сервером SIEM-системы. Этот номер порта должен совпадать с номером порта, который вы указываете в настройках приемника SIEM-системы (Для syslog порт - 514)
- Протокол – выберите протокол передачи сообщений в SIEM-систему. Можно выбрать протокол TCP/IP или UDP. Протокол TCP/IP является более надежным и поддерживает уведомление о получении сообщений. Протокол UDP является более простым, он применяется в случаях, когда проверка и исправление ошибок передачи сообщений не обязательны или выполняются на стороне приложения.
- Максимальный размер сообщения в байтах – укажите максимальный размер одного сообщения, в байтах, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. По умолчанию размер сообщения составляет 2048 байт. Данное поле доступно только в случае, если вы выбрали формат Syslog в поле SIEM-система.
