- Kaspersky Security Center 云控制台帮助
- 新闻
- Kaspersky Security Center 云控制台
- 架构和基本概念
- 应用程序授权许可
- Kaspersky Security Center 云控制台的授权许可
- 关于 Kaspersky Security Center 云控制台的试用模式
- 使用 Kaspersky Marketplace 选择 Kaspersky 商业解决方案
- 授权许可和每个授权许可的最小设备数量
- 超出了授权许可限制事件
- 将激活码分发到受管理设备的方法
- 添加授权许可密钥到管理服务器存储库
- 部署授权许可密钥到客户端设备
- 自动分发授权许可密钥
- 查看有关管理服务器存储库中正在使用的授权许可密钥的信息
- 查看有关用于特定卡巴斯基应用程序的授权许可密钥的信息
- 从存储库删除授权许可密钥
- 查看卡巴斯基应用程序未在其中激活的设备的列表
- 撤销对最终用户授权许可协议的同意
- 续订 Kaspersky 应用程序授权许可
- 授权许可到期后对 Kaspersky Security Center 云控制台的使用
- 授权许可定义
- 数据提供
- 强化指南
- Kaspersky Security Center 云控制台界面
- Kaspersky Security Center 云控制台的初始设置
- 工作区管理
- 方案:创建通过 Kaspersky Security Center 云控制台管理的管理服务器层次结构
- 迁移到 Kaspersky Security Center 云控制台
- 快速启动向导
- 卡巴斯基应用程序初始部署
- 方案:卡巴斯基应用程序初始部署
- 创建卡巴斯基应用程序的安装包
- 将安装包分发至从属管理服务器
- 为网络代理创建独立安装包
- 查看独立安装包列表
- 创建自定义安装包
- 分发点需求
- 网络代理安装包设置
- 虚拟基础架构
- Windows、Linux 和 macOS 网络代理的使用:比较
- 指定 Unix 设备上的远程安装设置
- 替换第三方安全应用程序
- 手动安装应用程序的选项
- 通过 Kaspersky Security Center 云控制台远程安装任务的强制部署
- 保护部署向导
- 用于与外部服务交互的网络设置
- 准备在封闭软件环境模式下运行 Astra Linux 的设备以安装网络代理
- 准备 Linux 设备并在 Linux 设备上远程安装网络代理
- 使用远程安装任务安装应用程序
- 启动和停止卡巴斯基应用程序
- 移动设备管理
- 检测和响应能力
- 发现联网设备并创建管理组
- 配置网络保护
- 方案:配置网络保护
- 关于以设备为中心和以用户为中心的安全管理方法
- 策略设置和传播:以设备为中心的方法
- 策略设置和传播:以用户为中心的方法
- 网络代理策略设置
- 网络代理策略设置:按操作系统比较
- Kaspersky Endpoint Security 策略的手动设置
- Kaspersky Endpoint Security 更新组任务的手动设置
- 任务
- 管理客户端设备
- 对管理组进行管理
- 策略和策略配置文件
- 数据加密和保护
- 用户和用户角色
- 管理对象修订
- 卡巴斯基安全网络 (KSN)
- 对象删除
- 更新 Kaspersky 数据库和应用程序
- 方案:定期更新 Kaspersky 数据库和应用程序
- 关于更新 Kaspersky 数据库、软件模块和应用程序
- 创建“将更新下载至分发点存储库”任务
- 将受管理设备配置为仅从分发点接收更新
- 启用和禁用 Kaspersky Security Center 云控制台组件的自动更新和补丁
- 自动安装 Kaspersky Endpoint Security for Windows 的更新
- 关于更新状态
- 批准和拒绝软件更新
- 使用 diff 文件更新 Kaspersky 数据库和软件模块
- 更新离线设备上的 Kaspersky 数据库和软件模块
- 更新 Kaspersky Security for Windows Server 数据库
- 在客户端设备上管理第三方应用程序
- 配置管理服务器
- 监控和报告
- 客户端设备的远程诊断
- 导出事件到 SIEM 系统
- 受管理服务提供商 (MSP) 快速入门指南
- 在云环境中使用 Kaspersky Security Center 云控制台
- 联系技术支持
- 有关程序的信息源
- 已知问题
- 词汇表
- Amazon EC2 实例
- Amazon 系统映像 (AMI)
- AWS Application Program Interface (AWS API)
- AWS IAM 访问密钥
- AWS 管理控制台
- Cloud Discovery
- HTTPS
- IAM 用户
- IAM 角色
- JavaScript
- Kaspersky Next Expert View
- Kaspersky Security Center 云控制台上的账户
- Kaspersky Security Center 云控制台操作者
- Kaspersky Security Center 云控制台管理员
- Kaspersky 更新服务器
- SSL
- UEFI 保护设备
- 不兼容应用程序
- 事件严重级别
- 事件存储库
- 任务
- 任务设置
- 保护状态
- 分发点
- 卡巴斯基安全网络 (KSN)
- 卡巴斯基私有安全网络 (KPSN)
- 反病毒数据库
- 受管理设备
- 可用更新
- 安装包
- 密钥文件
- 工作区
- 广播域
- 应用程序标签
- 强制安装
- 归属管理服务器
- 授权许可期限
- 更新
- 本地任务
- 本地安装
- 活动授权许可
- 漏洞
- 特定设备的任务
- 病毒活动性阀值
- 病毒爆发
- 直接应用程序管理
- 程序设置
- 策略
- 策略配置文件
- 管理 Web 插件
- 管理服务器
- 管理组
- 组任务
- 网络代理
- 网络保护状态
- 网络反病毒保护
- 虚拟管理服务器
- 补丁重要级别
- 设备所有者
- 设备标签(T)
- 身份和访问管理(IAM)
- 身份验证代理
- 还原
- 远程安装
- 连接网关
- 隔离
- 隔离区域 (DMZ)
- 集中式应用程序管理
- 额外(或备用)授权许可密钥
- 有关第三方代码的信息
- 商标声明
配置 Kaspersky Security Center 云控制台以导出事件到 SIEM 系统
要将事件导出到 SIEM 系统,必须在 Kaspersky Security Center 云控制台中配置导出流程。
要在 Kaspersky Security Center 云控制台中配置到 SIEM 系统的导出:
- 在主菜单,单击所需的管理服务器名称旁边的“设置”图标 (
)。管理服务器属性窗口将打开。
- 在“常规”选项卡上,选择“SIEM”区域。
- 单击“设置”链接。
“导出设置”区域将打开。
- 在“导出设置”区域指定设置:
- SIEM 系统服务器地址
安装了当前使用的 SIEM 系统的服务器的 IP 地址。在您的 SIEM 系统设置中检查此值。
- SIEM 系统端口
用于建立 Kaspersky Security Center 云控制台和您的 SIEM 系统服务器之间连接的端口号。您在 Kaspersky Security Center 云控制台设置中和您 SIEM 系统的接收设置中指定该值。
- 协议
您只能使用基于 TCP 协议的 TLS 将消息传输到 SIEM 系统。为此,请指定 TLS 设置:
- 服务器身份验证
在“服务器身份验证”字段中,可以选择值“受信任证书”或“SHA 指纹”:
- 受信任证书。您可以接收来自受信任证书颁发机构 (CA) 的完整证书链(包括根证书),并将该文件上传到 Kaspersky Security Center 云控制台。Kaspersky Security Center 云控制台会检查 SIEM 系统服务器的证书链是否也具有受信任 CA 的签名。
要添加受信任证书,请单击“浏览 CA 证书文件”按钮,然后上传证书。
- SHA 指纹。您可以在 Kaspersky Security Center 云控制台中指定 SIEM 系统的完整证书链(包括根证书)的 SHA1 指纹。要添加 SHA1 指纹,请在“指纹”字段中输入,然后单击“添加”按钮。
使用“添加客户端身份验证”设置,可以生成证书来对 Kaspersky Security Center 云控制台进行身份验证。因此,您将使用 Kaspersky Security Center 云控制台颁发的自签名证书。在这种情况下,您可以同时使用受信任证书和 SHA 指纹来对 SIEM 系统服务器进行身份验证。
- 受信任证书。您可以接收来自受信任证书颁发机构 (CA) 的完整证书链(包括根证书),并将该文件上传到 Kaspersky Security Center 云控制台。Kaspersky Security Center 云控制台会检查 SIEM 系统服务器的证书链是否也具有受信任 CA 的签名。
- 添加主题名称/主题备选名称
主题名称是接收证书的域名。如果 SIEM 系统服务器的域名与 SIEM 系统服务器证书的主题名称不匹配,Kaspersky Security Center 云控制台将无法连接到 SIEM 系统服务器。但是,SIEM 系统服务器的域名在证书中发生变化,则可以更改该域名。在这种情况下,您可以在“添加主题名称/主题备选名称”字段中指定主题名称。如果任一指定主题名称与 SIEM 系统证书的主题名称匹配,Kaspersky Security Center 云控制台将验证 SIEM 系统服务器证书。
- 添加客户端身份验证
对于客户端身份验证,可以插入证书或在 Kaspersky Security Center 云控制台中生成证书。
- 插入证书。您可以使用从任何来源(例如,从任何受信任 CA)收到的证书。您必须指定以下证书类型之一的证书及其私钥:
- X.509 证书 PEM。在“证书文件”字段中上传包含证书的文件,并在“密钥文件”字段中上传包含私钥的文件。这两个文件不相互依赖,文件的加载顺序也不重要。上传这两个文件后,在“密码或证书验证”字段中指定用于解码私钥的密码。如果私钥未编码,则密码可以为空值。
- X.509 证书 PKCS12。在“证书文件”字段中上传包含证书及其私钥的单个文件。上传该文件后,在“密码或证书验证”字段中指定用于解码私钥的密码。如果私钥未编码,则密码可以为空值。
- 生成密钥。您可以在 Kaspersky Security Center 云控制台中生成自签名证书。结果是,Kaspersky Security Center 云控制台将存储生成的自签名证书,您可以将证书的公共部分或 SHA1 指纹传递给 SIEM 系统。
- 插入证书。您可以使用从任何来源(例如,从任何受信任 CA)收到的证书。您必须指定以下证书类型之一的证书及其私钥:
- 服务器身份验证
- SIEM 系统服务器地址
- 如果需要,您可以从管理服务器数据库中导出压缩的事件,并设置要开始导出的压缩事件的开始日期:
- 单击设置导出起始日期链接。
- 在打开的区域的“导出的起始日期”字段中,指定开始日期。
- 单击“确定”按钮。
- 将选项切换到“自动导出事件至 SIEM 系统数据库已启用”位置。
- 要检查 SIEM 系统连接是否已成功配置,请单击检查连接按钮。
将显示连接状态。
- 单击“保存”按钮。
到 SIEM 系统的导出已配置。从现在开始,如果您在 SIEM 系统中配置了事件接收,管理服务器会将标记的事件导出到 SIEM 系统。如果设置了导出的开始日期,管理服务器还会从管理服务器数据库中导出从指定日期开始的标记事件。
|
另请参阅: |