Sobre a integração SIEM
Para reduzir a carga nos dispositivos de baixo desempenho e reduzir o risco de degradação do sistema como resultado do aumento do tamanho de logs do aplicativo, é possível configurar a publicação de eventos de auditoria e de desempenho de tarefa no servidor syslog por meio do protocolo Syslog.
Um servidor syslog é um servidor externo para eventos de agregação (SIEM). Ele armazena e analisa os eventos recebidos e executa outras ações de gerenciamento de logs.
É possível usar a integração SIEM de duas maneiras:
- Eventos duplicados no servidor syslog: nesse modo, todos os eventos de desempenho de tarefa cuja publicação esteja definida nas configurações de logs, bem como todos os eventos de auditoria do sistema, continuam a ser armazenados no dispositivo protegido mesmo após terem sido enviados ao servidor SIEM.
Recomenda-se usar este modo para reduzir o máximo possível a carga no dispositivo protegido.
- Excluir cópias locais de eventos: nesse modo, todos os eventos registrados durante a operação do aplicativo e publicados no servidor SIEM serão excluídos do dispositivo protegido.
O aplicativo nunca exclui versões locais do log de segurança.
O Kaspersky Embedded Systems Security pode converter eventos em logs de aplicativo em formatos compatíveis com o servidor syslog para que esses eventos possam ser transmitidos e reconhecidos com sucesso pelo servidor SIEM. O aplicativo é compatível com a conversão para um formato de dados estruturados e para o formato JSON.
Recomendamos selecionar o formato de eventos com base na configuração do servidor SIEM utilizado.
Configurações de confiabilidade
É possível reduzir o risco de retransmissão malsucedida de eventos ao servidor SIEM definindo as configurações para conectar ao servidor syslog de espelhamento.
Um servidor syslog de espelhamento adicional para o qual o aplicativo se alterna automaticamente se a conexão ao servidor principal syslog estiver indisponível ou se o servidor principal não puder ser utilizado.
O Kaspersky Embedded Systems Security também usa eventos de auditoria do sistema para notificar você sobre tentativas malsucedidas de conectar-se ao servidor SIEM e sobre erros ao enviar eventos ao servidor SIEM.