Configurando a publicação de eventos de aplicativo para um sistema SIEM

23 de maio de 2024

ID 218660

Para configurar a publicação de eventos no modo de suporte técnico, primeiramente é necessário carregar a chave SSH pública na interface web do aplicativo.

Antes de iniciar a configuração, certifique-se de ter ativado a exportação de eventos no formato CEF.

Execute as instruções abaixo em cada node do cluster cujos eventos se deseja publicar em um sistema SIEM.

Para configurar a publicação de eventos de aplicativo em um sistema SIEM:

  1. Conecte-se ao console de gerenciamento da máquina virtual do Kaspersky Secure Mail Gateway na conta raiz, usando uma chave SSH privada.

    Você entrará no modo suporte técnico.

  2. Especifique o endereço e a porta para se conectar ao servidor que hospeda o sistema SIEM. Para fazer isso, adicione as seguintes linhas ao final do arquivo /etc/rsyslog.conf:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    <categoria (recurso)>. * @@<endereço IP do sistema SIEM>: <porta usada pelo sistema SIEM para receber as mensagens do Syslog pelo TCP>

    Antes de fazer qualquer alteração no arquivo /etc/rsyslog.conf, é recomendável fazer uma cópia de backup. Um erro durante a edição do arquivo pode fazer com que o sistema funcione incorretamente.

  3. Reinicie o serviço rsyslog. Para isso, execute o seguinte comando:

    o serviço rsyslog é reiniciado

A publicação dos eventos do aplicativo para o sistema SIEM será configurada.

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.