Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
RUSIEM Подключение Kaspersky Security Center 11: различия между версиями
Перейти к навигации
Перейти к поиску
Wikiadmin (обсуждение | вклад) |
Wikiadmin (обсуждение | вклад) |
||
| Строка 19: | Строка 19: | ||
[[Файл:Rusiem_ksc_4.png|900px|border]] | [[Файл:Rusiem_ksc_4.png|900px|border]] | ||
| − | ==Шаг 2. Настройка экспорта | + | ==Шаг 2. Настройка экспорта из Kaspersky Security Center в RUSIEM== |
В разделе '''"Экспорт событий"''' укажите следующие параметры: | В разделе '''"Экспорт событий"''' укажите следующие параметры: | ||
| Строка 25: | Строка 25: | ||
[[Файл:Rusiem_ksc_6.png|border]] | [[Файл:Rusiem_ksc_6.png|border]] | ||
| − | *Автоматически экспортировать события в базу SIEM-системы – установите этот флажок, для того чтобы включить автоматический экспорт событий в SIEM-систему. При установке этого флажка все поля в разделе Экспорт событий становятся доступными для редактирования. | + | *'''Автоматически экспортировать события в базу SIEM-системы''' – установите этот флажок, для того чтобы включить автоматический экспорт событий в SIEM-систему. При установке этого флажка все поля в разделе Экспорт событий становятся доступными для редактирования. |
| − | *SIEM-система – выберите вариант Формат QRadr (LEEF-формат) | + | *'''SIEM-система''' – выберите вариант Формат QRadr (LEEF-формат). |
| − | *Адрес сервера SIEM-системы – укажите адрес сервера SIEM-системы. Адрес сервера можно указать в формате DNS- или NetBIOS‑имени или IP-адреса. | + | *'''Адрес сервера SIEM-системы''' – укажите адрес сервера SIEM-системы. Адрес сервера можно указать в формате DNS- или NetBIOS‑имени или IP-адреса. |
| − | *Порт сервера SIEM-системы – укажите номер порта для соединения с сервером SIEM-системы. Этот номер порта должен совпадать с номером порта, который вы указываете в настройках приемника SIEM-системы (Для syslog порт - 514) | + | *'''Порт сервера SIEM-системы''' – укажите номер порта для соединения с сервером SIEM-системы. Этот номер порта должен совпадать с номером порта, который вы указываете в настройках приемника SIEM-системы '''(Для syslog порт - 514)''' |
| − | *Протокол – выберите протокол передачи сообщений в SIEM-систему. Можно выбрать протокол TCP/IP или UDP. Протокол TCP/IP является более надежным и поддерживает уведомление о получении сообщений. Протокол UDP является более простым, он применяется в случаях, когда проверка и исправление ошибок передачи сообщений не обязательны или выполняются на стороне приложения. | + | *'''Протокол''' – выберите протокол передачи сообщений в SIEM-систему. Можно выбрать протокол TCP/IP или UDP. Протокол TCP/IP является более надежным и поддерживает уведомление о получении сообщений. Протокол UDP является более простым, он применяется в случаях, когда проверка и исправление ошибок передачи сообщений не обязательны или выполняются на стороне приложения. |
| − | *Максимальный размер сообщения в байтах – укажите максимальный размер одного сообщения, в байтах, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. По умолчанию размер сообщения составляет 2048 байт. Данное поле доступно только в случае, если вы выбрали формат Syslog в поле SIEM-система. | + | *'''Максимальный размер сообщения в байтах''' – укажите максимальный размер одного сообщения, в байтах, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. '''По умолчанию размер сообщения составляет 2048 байт'''. Данное поле доступно только в случае, если вы выбрали формат Syslog в поле SIEM-система. |
==Шаг 7 Проверка что все работает== | ==Шаг 7 Проверка что все работает== | ||
[[Категория: RUSIEM]] | [[Категория: RUSIEM]] | ||
Версия 16:34, 25 ноября 2019
Шаг 1. Переход к настройкам экспорта в Kaspersky Security Center
В дереве консоли Kaspersky Security Center выберите узел с именем Сервера администрирования, события которого необходимо экспортировать.
В рабочей области выбранного Сервера администрирования перейдите на закладку События.
Щелкните по стрелке рядом со ссылкой Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите значение Настроить экспорт в SIEM-систему.
Шаг 2. Настройка экспорта из Kaspersky Security Center в RUSIEM
В разделе "Экспорт событий" укажите следующие параметры:
- Автоматически экспортировать события в базу SIEM-системы – установите этот флажок, для того чтобы включить автоматический экспорт событий в SIEM-систему. При установке этого флажка все поля в разделе Экспорт событий становятся доступными для редактирования.
- SIEM-система – выберите вариант Формат QRadr (LEEF-формат).
- Адрес сервера SIEM-системы – укажите адрес сервера SIEM-системы. Адрес сервера можно указать в формате DNS- или NetBIOS‑имени или IP-адреса.
- Порт сервера SIEM-системы – укажите номер порта для соединения с сервером SIEM-системы. Этот номер порта должен совпадать с номером порта, который вы указываете в настройках приемника SIEM-системы (Для syslog порт - 514)
- Протокол – выберите протокол передачи сообщений в SIEM-систему. Можно выбрать протокол TCP/IP или UDP. Протокол TCP/IP является более надежным и поддерживает уведомление о получении сообщений. Протокол UDP является более простым, он применяется в случаях, когда проверка и исправление ошибок передачи сообщений не обязательны или выполняются на стороне приложения.
- Максимальный размер сообщения в байтах – укажите максимальный размер одного сообщения, в байтах, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. По умолчанию размер сообщения составляет 2048 байт. Данное поле доступно только в случае, если вы выбрали формат Syslog в поле SIEM-система.
