Definições das configurações de integração SIEM
Para reduzir a carga nos dispositivos de baixo desempenho e reduzir o risco de degradação do sistema como resultado do aumento do tamanho de logs do aplicativo, é possível configurar a publicação de eventos de auditoria e de desempenho de tarefa no servidor syslog por meio do protocolo Syslog.
Um servidor syslog é um servidor externo para eventos de agregação (SIEM). Ele armazena e analisa os eventos recebidos e executa outras ações de gerenciamento de logs.
É possível usar a integração SIEM de duas maneiras:
- Eventos duplicados no servidor syslog: nesse modo, todos os eventos de desempenho de tarefa cuja publicação esteja definida nas configurações de logs, bem como todos os eventos de auditoria do sistema, continuam a ser armazenados no dispositivo protegido mesmo após terem sido enviados ao servidor SIEM.
Recomenda-se usar este modo para reduzir o máximo possível a carga no dispositivo protegido.
- Excluir cópias locais de eventos: nesse modo, todos os eventos registrados durante a operação do aplicativo e publicados no servidor SIEM serão excluídos do dispositivo protegido.
O aplicativo nunca exclui versões locais do log de segurança.
O Kaspersky Embedded Systems Security pode converter eventos em logs de aplicativo em formatos compatíveis com o servidor syslog para que esses eventos possam ser transmitidos e reconhecidos com sucesso pelo servidor SIEM. O aplicativo é compatível com a conversão para um formato de dados estruturados e para o formato JSON.
Para reduzir o risco de retransmissão malsucedida de eventos ao servidor SIEM, é possível definir as configurações para conectar ao servidor syslog de espelhamento.
Um servidor syslog de espelhamento adicional para o qual o aplicativo se alterna automaticamente se a conexão ao servidor principal syslog estiver indisponível ou se o servidor principal não puder ser utilizado.
Por padrão, a integração SIEM não é utilizada. É possível ativar e desativar a integração SIEM e definir configurações relevantes (consulte a tabela abaixo).
Configurações de integração SIEM
Configuração | Valor padrão | Descrição |
---|---|---|
Enviar eventos para um servidor syslog remoto pelo protocolo syslog | Não aplicado | É possível ativar ou desativar a integração SIEM marcando ou desmarcando a caixa de seleção, respectivamente. |
Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto | Não aplicado | É possível definir as configurações para armazenar as cópias locais dos logs após terem sido enviados ao servidor SIEM marcando ou desmarcando a caixa de seleção. |
Formato dos eventos | Dados estruturados | É possível selecionar um de dois formatos nos quais o aplicativo converte seus eventos antes de enviá-los ao servidor syslog para um melhor reconhecimento desses eventos pelo servidor SIEM. |
Protocolo de conexão | TCP | Você pode usar a lista suspensa para configurar a conexão ao servidor syslog principal via protocolos UDP ou TCP; ao servidor syslog de espelhamento pelo protocolo TCP. |
Configurações de conexão do servidor syslog principal | Endereço IP: 127.0.0.1 Porto: 514 | Você pode usar os campos apropriados para configurar o endereço IP e a porta usados para conectar-se ao servidor syslog principal. É possível especificar o endereço IP somente no formato IPv4. |
Use um servidor syslog de espelhamento se o servidor principal não estiver acessível | Não aplicado | É possível usar a caixa de seleção para ativar ou desativar o uso de um servidor syslog refletido. |
Configurações de conexão do servidor syslog de espelhamento | Endereço IP: 127.0.0.1 Porto: 514 | Você pode usar os campos apropriados para configurar o endereço IP e a porta usados para conectar-se ao servidor syslog de espelhamento. É possível especificar o endereço IP somente no formato IPv4. |
Para definir as configurações de integração SIEM:
- Expanda o node Dispositivos gerenciados na árvore do Console de Administração do Kaspersky Security Center.
- Selecione o grupo de administração para o qual você deseja definir as configurações do aplicativo.
- Execute uma das seguintes ações no painel de detalhes do grupo de administração selecionado:
- Para definir as configurações do aplicativo para um grupo de dispositivos protegidos, selecione a guia Políticas e abra a janela Propriedades: <Nome da política>.
- Para configurar o aplicativo para um único dispositivo protegido, selecione a guia Dispositivos e abra a janela Configurações do aplicativo.
Se uma política ativa do Kaspersky Security Center for aplicada a um dispositivo e bloquear alterações nas configurações do aplicativo, essas configurações não poderão ser editadas na janela Configurações do aplicativo.
- Na seção Logs e notificações, clique no botão Configurações no bloco Logs de tarefas.
A janela Configurações de logs e notificações é exibida.
- Selecione a guia Integração SIEM.
- Na seção Configurações de integração, marque a caixa de seleção Enviar eventos para um servidor syslog remoto pelo protocolo syslog.
- Se necessário, na seção Configurações de integração, marque a caixa de seleção Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto.
O status da caixa de seleção Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto não afeta as configurações de armazenamento de eventos do log de segurança: o aplicativo nunca exclui automaticamente os eventos de log de segurança.
- Na seção Formato dos eventos, especifique o formato para o qual deseja converter eventos do aplicativo para que sejam enviados ao servidor SIEM.
Por padrão, o aplicativo converte-os em um formato de dados estruturados.
- Na seção Configurações de conexão:
- Especifique o protocolo de conexão SIEM.
- Especifique as configurações para a conexão com o servidor syslog principal.
Só é possível especificar um endereço IP no formato IPv4.
- Marque a caixa de seleção Use um servidor syslog de espelhamento se o servidor principal não estiver acessível se desejar que o aplicativo use outras configurações de conexão quando não for possível enviar eventos para o servidor syslog principal.
Especifique as seguintes configurações para a conexão com o servidor syslog de espelhamento: Endereço e Porta.
Os campos Endereço e Porta do servidor syslog de espelhamento não poderão ser editados se a caixa de seleção Use um servidor syslog de espelhamento se o servidor principal não estiver acessível estiver desmarcada.
Só é possível especificar um endereço IP no formato IPv4.
- Clique em OK.
As configurações da integração SIEM definidas serão aplicadas.