Configurando o Kaspersky Security Center Cloud Console para exportação de eventos para o sistema SIEM

Expandir tudo | Recolher tudo

Para exportar eventos para o sistema SIEM, você deve configurar o processo de exportação no Kaspersky Security Center Cloud Console.

Para configurar a exportação para sistemas SIEM no Kaspersky Security Center Cloud Console:

1. No menu principal, clique no ícone de configurações () ao lado do nome do Servidor de Administração necessário.

   A janela Propriedades do Servidor de Administração é aberta.

2. Na guia Geral, selecione a seção SIEM.
3. Clique no link Configurações.

   A seção Exportar as configurações é aberta.

4. Especifique as configurações na seção Exportar as configurações:
   • Endereço do servidor do sistema SIEM

     O endereço IP do servidor onde o sistema SIEM atualmente usado está instalado. Verifique este valor nas suas configurações de sistema SIEM.

   • Porta do sistema SIEM

     O número da porta usada para estabelecer a conexão entre o Kaspersky Security Center Cloud Console e o seu servidor do sistema SIEM. Você especifica este valor nas configurações do Kaspersky Security Center Cloud Console e nas configurações do receptor do seu sistema SIEM.

   • Protocolo

     Você pode usar apenas o protocolo TLS sobre TCP para transferir mensagens para o sistema SIEM. Para fazer isso, especifique as configurações de TLS:

     • Autenticação do servidor

       No campo Autenticação do servidor, você pode selecionar os valores de Certificados confiáveis ou de Impressões digitais SHA:

       • Certificados confiáveis. Você pode receber um arquivo com a lista de certificados de uma autoridade de certificação (CA) confiável e carregá-lo no Kaspersky Security Center Cloud Console. O Kaspersky Security Center Cloud Console verifica se a cadeia de certificado do servidor do sistema SIEM também é assinado por uma CA confiável.

         Para adicionar um certificado confiável, clique no botão Procurar arquivo de certificados CA e, em seguida, carregue o certificado.

       • Impressões digitais SHA. Você pode especificar impressões digitais SHA1 da cadeia de certificados completa do sistema SIEM (incluindo o certificado raiz) no Kaspersky Security Center Cloud Console. Para adicionar uma impressão digital SHA1, insira-a no campo Impressões digitais e, em seguida, clique no botão Adicionar.

       Ao usar a configuração Adicionar autenticação do cliente, você pode gerar um certificado para autenticar o Kaspersky Security Center Cloud Console. Assim, você usará um certificado autoassinado emitido pelo Kaspersky Security Center Cloud Console. Nesse caso, você pode usar um certificado confiável e uma impressão digital SHA para autenticar o servidor do sistema SIEM.

     • Adicionar nome do assunto/Nome alternativo do assunto

       Nome do assunto é um nome de domínio para o qual o certificado foi recebido. O Kaspersky Security Center Cloud Console não poderá se conectar ao servidor do sistema SIEM se o nome de domínio dele não corresponder ao nome da entidade do certificado do servidor do sistema SIEM. No entanto, o servidor do sistema SIEM pode alterar seu nome de domínio se o nome tiver sido alterado no certificado. Neste caso, você pode especificar nomes de assuntos no campo Adicionar nome do assunto/Nome alternativo do assunto. Se qualquer um dos nomes de assunto especificados corresponder ao nome do assunto do certificado do sistema SIEM, o Kaspersky Security Center Cloud Console validará o certificado do servidor do sistema SIEM.

     • Adicionar autenticação do cliente

       Para autenticação de cliente, você pode inserir o seu certificado ou gerá-lo no Kaspersky Security Center Cloud Console.

       • Inserir certificado. Você pode usar um certificado que recebeu de qualquer fonte, por exemplo, de qualquer CA confiável. Você deve especificar o certificado e sua chave privada usando um dos seguintes tipos de certificado:
         • Certificado X.509 PEM. Carregue um arquivo com um certificado no campo Arquivo com certificado e um arquivo com uma chave privada no campo Arquivo com chave. Ambos os arquivos não dependem um do outro e a ordem de carregamento dos arquivos não é significativa. Quando os dois arquivos forem carregados, especifique a senha para decodificar a chave privada no campo Verificação de senha ou certificado. A senha pode ter um valor vazio se a chave privada não estiver codificada.
         • Certificado X.509 PKCS12. Carregue um único arquivo que contenha um certificado e sua chave privada no campo Arquivo com certificado. Quando o arquivo for carregado, especifique a senha para decodificar a chave privada no campo Verificação de senha ou certificado. A senha pode ter um valor vazio se a chave privada não estiver codificada.
       • Gerar chave. Você pode gerar um certificado autoassinado no Kaspersky Security Center Cloud Console. Como resultado, o Kaspersky Security Center Cloud Console armazena o certificado autoassinado gerado e você pode passar a parte pública do certificado ou a impressão digital SHA1 para o sistema SIEM.
5. Se desejar, você pode exportar eventos arquivados do banco de dados do Servidor de Administração e definir a data de início da exportação de eventos arquivados:
   1. Clique no link Definir a data de início da exportação.
   2. Na seção aberta, especifique a data de início no campo Data para início da exportação.
   3. Clique no botão OK.
6. Alterne a opção para a posição Exportar automaticamente os eventos para o banco de dados do sistema SIEM Ativado.
7. Para verificar se a conexão do sistema SIEM foi configurada com êxito, clique no botão Verificar conexão.

   O status da conexão será exibido.

8. Clique no botão Salvar.

A exportação para o sistema SIEM está configurada. A partir de agora, se você configurou o recebimento de eventos em um sistema SIEM, o Servidor de Administração exportará os eventos marcados para um sistema SIEM. Se você definir a data de início da exportação, o Servidor de Administração também exportará os eventos marcados armazenados no banco de dados do Servidor de Administração a partir da data especificada.