イベントを SIEM システムにエクスポートするための Kaspersky Security Center Linux の設定

すべて表示 | すべて非表示

イベントを SIEM システムにエクスポートするには、Kaspersky Security Center Linux でエクスポートプロセスを設定する必要があります。

Kaspersky Security Center Web コンソールで SIEM システムへのエクスポートを設定するには：

1. メインメニューで、目的の管理サーバーの名前の横にある設定アイコン（）をクリックします。

   管理サーバーのプロパティウィンドウが開きます。

2. ［全般］タブで、［SIEM］セクションを選択します。
3. ［設定］をクリックします。

   ［エクスポート設定］セクションが開きます。

4. ［エクスポート設定］セクションで設定を指定します：
   • SIEM システムサーバーアドレス

     現在使用している SIEM システムがインストールされているサーバーの IP アドレスです。SIEM システム設定でこの値を確認してください。

   • SIEM システムのポート

     Kaspersky Security Center Linux と SIEM システムサーバー間の接続を確立するために使用するポート番号。Kaspersky Security Center Linux の設定と SIEM システムのレシーバ設定でこの値を指定します。

   • プロトコル

     メッセージを SIEM システムに送信するために使用するプロトコルを選択します。TCP/IP、UDP、TCP プロトコルのいずれかを選択できます。

     TLS over TCP プロトコルを選択した場合は、次の TLS 設定を指定します：

     • サーバー認証

       ［サーバー認証］フィールドでは、信頼する証明書または SHA フィンガープリントを選択できます：

       • 信頼できる証明書：信頼できる証明書認証局（CA）から証明書のリストを含むファイルを受け取り、ファイルを Kaspersky Security Center Linux にアップロードできます。Kaspersky Security Center Linux は、SIEM システムサーバーの証明書も CA によって署名されているかどうかを確認します。

         信頼できる証明書を追加するには、［CA 証明書を参照］をクリックして、証明書をアップロードします。

       • SHA フィンガープリント：SIEM システム証明書の SHA-1 サムプリントを Kaspersky Security Center Linux で指定できます。SHA-1 サムプリントを追加するには、［サムプリント］フィールドでサムプリントを入力し、［追加］をクリックします。

       ［クライアント認証を追加する］を使用して、Kaspersky Security Center Linux を認証する証明書を生成することができます。このようにして、Kaspersky Security Center Linux が発行した自己署名証明書を使用します。この場合、SIEM システムサーバーの認証に、信頼できる証明書と SHA フィンガープリントの両方を使用することができます。

     • サブジェクト名 / サブジェクト代替名を追加する

       サブジェクト名は、証明書を受け取るドメインの名前です。SIEM システムサーバーのドメイン名が SIEM システムサーバー証明書のサブジェクト名と一致しない場合、Kaspersky Security Center Linux は SIEM システムサーバーに接続できません。しかし、SIEM システムサーバーは証明書内で名前が変更された場合にドメイン名を変更することがあります。この場合、サブジェクト名を［サブジェクト名 / サブジェクト代替名を追加する］で指定することができます。指定されたサブジェクト名のいずれかが SIEM システム証明書のサブジェクト名と一致する場合、Kaspersky Security Center Linux は SIEM システムサーバー証明書を検証します。

     • クライアント認証を追加する

       クライアント認証用に、自身の証明書を挿入するか、Kaspersky Security Center Linux で生成することができます。

       • 証明書を挿入する:CA など、任意の発行元から受け取った証明書を使用できます。次のいずれかの証明書タイプを使用して、証明書とその秘密鍵を指定する必要があります：
         • X.509 証明書 PEM：［証明書のファイル］フィールドに証明書のファイルをアップロードし、［鍵のファイル］フィールドに秘密鍵のファイルをアップロードします。両方のファイルは相互に依存せず、ファイルを読み込む順序は重要ではありません。両方のファイルがアップロードされたら、秘密鍵をデコードするためのパスワードを［パスワードまたは証明書の検証］で指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
         • X.509 証明書 PKCS12：証明書と秘密鍵を含む単一のファイルを［証明書のファイル］フィールドにアップロードします。ファイルをアップロードしたら、秘密鍵をデコードするためのパスワードを［パスワードまたは証明書の検証］で指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
       • 鍵を生成する：Kaspersky Security Center Linux で自己署名証明書を生成できます。Kaspersky Security Center Linux は生成された自己署名証明書を保存し、証明書の公開部分または SHA-1 フィンガープリントを SIEM システムに渡すことができます。
5. 必要に応じて、管理サーバーデータベースからアーカイブイベントをエクスポートし、アーカイブイベントのエクスポートを開始する日付を設定できます：
   1. ［エクスポートの開始日を設定］をクリックします。
   2. 表示されたセクションの［エクスポートの開始日］に、開始日を指定します。
   3. ［OK］をクリックします。
6. オプションを［SIEM システムデータースへのイベントの自動エクスポートが［有効］です］に切り替えます。
7. ［保存］をクリックします。

SIEM システムへのエクスポートが設定されました。これで、イベントの受信を SIEM システムで設定した場合は、マーキングされたイベントが管理サーバーから SIEM システムにエクスポートされます。エクスポートの開始日を設定した場合、管理サーバーは指定された日付からも管理サーバーデータベース内のマーキングされたイベントをエクスポートします。