Kaspersky Security Center 14 Linux

イベントを SIEM システムにエクスポートするための Kaspersky Security Center Linux の設定

すべて表示 | すべて非表示

イベントを SIEM システムにエクスポートするには、Kaspersky Security Center Linux でエクスポートプロセスを設定する必要があります。

Kaspersky Security Center 14 Web コンソールで SIEM システムへのエクスポートを設定するには：

1. ［コンソールの設定］ドロップダウンリストで、［連携］を選択します。

   コンソールの設定ウィンドウが表示されます。

2. ［連携］タブを選択します。
3. ［連携］タブで、［SIEM］セクションを選択します。
4. ［設定］をクリックします。

   ［エクスポート設定］セクションが開きます。

5. ［エクスポート設定］セクションで設定を指定します：
   • SIEM システムサーバーアドレス

     現在使用している SIEM システムがインストールされているサーバーの IP アドレスです。SIEM システム設定でこの値を確認してください。

   • SIEM システムのポート

     Kaspersky Security Center Linux と SIEM システムサーバー間の接続を確立するために使用するポート番号。Kaspersky Security Center Linux の設定と SIEM システムのレシーバ設定でこの値を指定します。

   • プロトコル

     メッセージを SIEM システムに送信するために使用するプロトコルを選択します。TCP、UDP、TLS over TCP プロトコルのいずれかを選択できます。

     TLS over TCP プロトコルを選択した場合は、次の TLS 設定を指定します：

     • サーバー認証

       ［サーバー認証］フィールドでは、信頼する証明書または SHA フィンガープリントを選択できます：

       • 信頼できる証明書：信頼できる認証局（CA）からルート証明書を含む完全な証明書チェーンを受け取り、そのファイルを Kaspersky Security Center Linux にアップロードすることができます。Kaspersky Security Center Linux は、SIEM システムサーバーの証明書チェーンも信頼できる CA によって署名されているかどうかを確認します。

         信頼できる証明書を追加するには、［CA 証明書を参照］をクリックして、証明書をアップロードします。

       • SHA フィンガープリント：Kaspersky Security Center で、SIEM システムの完全な証明書チェーン（ルート証明書を含む）の SHA1 サムプリントを指定できます。SHA1 サムプリントを追加するには、［サムプリント］フィールドでサムプリントを入力し、［追加］をクリックします。

       ［クライアント認証を追加する］を使用して、Kaspersky Security Center を認証する証明書を生成することができます。このようにして、Kaspersky Security Center が発行した自己署名証明書を使用します。この場合、SIEM システムサーバーの認証に、信頼できる証明書と SHA フィンガープリントの両方を使用することができます。

     • サブジェクト名 / サブジェクト代替名を追加する

       サブジェクト名は、証明書を受け取るドメインの名前です。SIEM システムサーバーのドメイン名が SIEM システムサーバー証明書のサブジェクト名と一致しない場合、Kaspersky Security Center Linux は SIEM システムサーバーに接続できません。しかし、SIEM システムサーバーは証明書内で名前が変更された場合にドメイン名を変更することがあります。この場合、サブジェクト名を［サブジェクト名 / サブジェクト代替名を追加する］で指定することができます。指定されたサブジェクト名のいずれかが SIEM システム証明書のサブジェクト名と一致する場合、Kaspersky Security Center Linux は SIEM システムサーバー証明書を検証します。

     • クライアント認証を追加する

       クライアント認証用に、自身の証明書を挿入するか、Kaspersky Security Center で生成することができます。

       • 証明書を挿入する:CA など、任意の発行元から受け取った証明書を使用できます。次のいずれかの証明書タイプを使用して、証明書とその秘密鍵を指定する必要があります：
         • X.509 証明書 PEM：［証明書のファイル］フィールドに証明書のファイルをアップロードし、［鍵のファイル］フィールドに秘密鍵のファイルをアップロードします。両方のファイルは相互に依存せず、ファイルを読み込む順序は重要ではありません。両方のファイルがアップロードされたら、秘密鍵をデコードするためのパスワードを［パスワードまたは証明書の検証］で指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
         • X.509 証明書 PKCS12：証明書と秘密鍵を含む単一のファイルを［証明書のファイル］フィールドにアップロードします。ファイルをアップロードしたら、秘密鍵をデコードするためのパスワードを［パスワードまたは証明書の検証］で指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
       • 鍵を生成する：Kaspersky Security Center で自己署名証明書を生成できます。Kaspersky Security Center Linux は生成された自己署名証明書を保存し、証明書の公開部分または SHA-1 フィンガープリントを SIEM システムに渡すことができます。
6. 必要に応じて、管理サーバーデータベースからアーカイブイベントをエクスポートし、アーカイブイベントのエクスポートを開始する日付を設定できます：
   1. ［エクスポートの開始日を設定］をクリックします。
   2. 表示されたセクションの［エクスポートの開始日］に、開始日を指定します。
   3. ［OK］をクリックします。
7. オプションを［SIEM システムデータースへのイベントの自動エクスポートが［有効］です］に切り替えます。
8. ［保存］をクリックします。

SIEM システムへのエクスポートが設定されました。これで、イベントの受信を SIEM システムで設定した場合は、マーキングされたイベントが管理サーバーから SIEM システムにエクスポートされます。エクスポートの開始日を設定した場合、管理サーバーは指定された日付からも管理サーバーデータベース内のマーキングされたイベントをエクスポートします。