Definições das configurações de integração SIEM

Para reduzir a carga nos dispositivos de baixo desempenho e reduzir o risco de degradação do sistema como resultado do aumento do tamanho de logs do aplicativo, é possível configurar a publicação de eventos de auditoria e de desempenho de tarefa no servidor syslog por meio do protocolo Syslog.

Um servidor syslog é um servidor externo para eventos de agregação (SIEM). Ele armazena e analisa os eventos recebidos e executa outras ações de gerenciamento de logs.

É possível usar a integração SIEM de duas maneiras:

• Eventos duplicados no servidor syslog: nesse modo, todos os eventos de desempenho de tarefa cuja publicação esteja definida nas configurações de logs, bem como todos os eventos de auditoria do sistema, continuam a ser armazenados no dispositivo protegido mesmo após terem sido enviados ao servidor SIEM.

  Recomenda-se usar este modo para reduzir o máximo possível a carga no dispositivo protegido.

• Excluir cópias locais de eventos: nesse modo, todos os eventos registrados durante a operação do aplicativo e publicados no servidor SIEM serão excluídos do dispositivo protegido.

  O aplicativo nunca exclui versões locais do log de segurança.

O Kaspersky Embedded Systems Security pode converter eventos em logs de aplicativo em formatos compatíveis com o servidor syslog para que esses eventos possam ser transmitidos e reconhecidos com sucesso pelo servidor SIEM. O aplicativo é compatível com a conversão para um formato de dados estruturados e para o formato JSON.

Para reduzir o risco de retransmissão malsucedida de eventos ao servidor SIEM, é possível definir as configurações para conectar ao servidor syslog de espelhamento.

Um servidor syslog de espelhamento adicional para o qual o aplicativo se alterna automaticamente se a conexão ao servidor principal syslog estiver indisponível ou se o servidor principal não puder ser utilizado.

Por padrão, a integração SIEM não é utilizada. É possível ativar e desativar a integração SIEM e definir configurações relevantes (consulte a tabela abaixo).

Configurações de integração SIEM

Para definir as configurações de integração SIEM:

1. Expanda o node Dispositivos gerenciados na árvore do Console de Administração do Kaspersky Security Center.
2. Selecione o grupo de administração para o qual você deseja definir as configurações do aplicativo.
3. Execute uma das seguintes ações no painel de detalhes do grupo de administração selecionado:
   • Para definir as configurações do aplicativo para um grupo de dispositivos protegidos, selecione a guia Políticas e abra a janela Propriedades: <Nome da política>.
   • Para configurar o aplicativo para um único dispositivo protegido, selecione a guia Dispositivos e abra a janela Configurações do aplicativo.

     Se uma política ativa do Kaspersky Security Center for aplicada a um dispositivo e bloquear alterações nas configurações do aplicativo, essas configurações não poderão ser editadas na janela Configurações do aplicativo.

4. Na seção Logs e notificações, clique no botão Configurações no bloco Logs de tarefas.

   A janela Configurações de logs e notificações é exibida.

5. Selecione a guia Integração SIEM.
6. Na seção Configurações de integração, marque a caixa de seleção Enviar eventos para um servidor syslog remoto pelo protocolo syslog.
   

   A caixa de seleção ativa ou desativa a funcionalidade de envio de eventos publicados a um servidor syslog externo.

   Se a caixa de seleção for marcada, o aplicativo enviará eventos publicados ao servidor SIEM de acordo com as configurações de integração SIEM definidas.

   Se a caixa de seleção for desmarcada, o aplicativo não executará a integração SIEM. Não é possível definir as configurações de integração SIEM se a caixa de seleção for desmarcada.

   Esta caixa é desmarcada por padrão.

7. Se necessário, na seção Configurações de integração, marque a caixa de seleção Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto.
   

   A caixa de seleção ativa ou desativa a exclusão de cópias locais de logs quando eles são enviados para o servidor SIEM.

   Se a caixa de seleção for marcada, o aplicativo exclui cópias locais de eventos depois que eles tiverem sido publicados com sucesso no servidor SIEM. Este modo é recomendado em dispositivos com desempenho limitado.

   Se a caixa de seleção for desmarcada, o aplicativo apenas enviará os eventos para o servidor SIEM. As cópias de logs continuam sendo armazenadas localmente.

   Esta caixa é desmarcada por padrão.

   O status da caixa de seleção Remover cópias locais dos eventos que foram enviados para um servidor syslog remoto não afeta as configurações de armazenamento de eventos do log de segurança: o aplicativo nunca exclui automaticamente os eventos de log de segurança.

8. Na seção Formato dos eventos, especifique o formato para o qual deseja converter eventos do aplicativo para que sejam enviados ao servidor SIEM.

   Por padrão, o aplicativo converte-os em um formato de dados estruturados.

9. Na seção Configurações de conexão:
   • Especifique o protocolo de conexão SIEM.
   • Especifique as configurações para a conexão com o servidor syslog principal.

     Só é possível especificar um endereço IP no formato IPv4.

   • Marque a caixa de seleção Use um servidor syslog de espelhamento se o servidor principal não estiver acessível se desejar que o aplicativo use outras configurações de conexão quando não for possível enviar eventos para o servidor syslog principal.

     Especifique as seguintes configurações para a conexão com o servidor syslog de espelhamento: Endereço e Porta.

     Os campos Endereço e Porta do servidor syslog de espelhamento não poderão ser editados se a caixa de seleção Use um servidor syslog de espelhamento se o servidor principal não estiver acessível estiver desmarcada.

     Só é possível especificar um endereço IP no formato IPv4.

10. Clique em OK.

As configurações da integração SIEM definidas serão aplicadas.