Интеграция Kaspersky MLAD с KUMA по Syslog

1.            Описание задачи

Данный документ описывает процесс настройки Kaspersky MLAD для интеграции с KUMA по протоколу Syslog.

Цель данной интеграции – обеспечить передачу событий безопасности из Kaspersky MLAD в SIEM систему для обеспечения мер информационной безопасности в инфраструктуре клиента.

Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции.

2.            Реализация задачи

Первым шагом необходимо настроить CEF-коннектор в составе Kaspersky MLAD на передачу событий безопасности в SIEM-систему.

Для этого перейдите в Меню администратора, затем в Системные параметры, затем в настройки CEF-коннектора.

Здесь вам необходимо активировать переключатель Отправлять журналы событий информационной безопасности на Syslog-сервер, указать тип транспорта (TCP или UDP), указать адрес и порт Syslog-сервера. Если вы планируете использовать защищенное TLS-соединение, то вам необходимо также загрузить сертификат/закрытый ключ клиента и CA-сертификат для верификации серверной стороны.

После этого перейдите в основное меню, далее в Службы, затем в раздел Коннекторы. Запустите службу CEF connector, или перезапустите ее, если вы вносили изменения в настройки.

На этом настройка со стороны MLAD закончена.

В KUMA перейдите в раздел Ресурсы, затем Коллекторы.

В состав поставки KUMA входит предварительно настроенный коллектор [OOTB] Syslog CEF. Создайте копию на основе данного коллектора и перейдите в его настройки. Основные настройки подключения задаются на вкладке Транспорт.

Укажите тип протокола, интерфейс и порт, на котором KUMA будет принимать подключение по Syslog. Убедитесь, что настройки подключения в MLAD совпадают с настройками в данной вкладке.

Настройки остальных вкладок не влияют на прием сообщений Syslog. Во вкладке Парсинг событий вы можете настроить, как будут парситься события Syslog, полученные от MLAD. Для этого вам предварительно необходимо создать соответствующий парсер. Процесс создания и настройки парсера описан в документации на KUMA, и в данном документе не затрагивается,

После завершения настройки вам сначала будет необходимо будет создать соответствующий сервис.

Для этого необходимо выполнить предложенную команду (через sudo) на машине с KUMA.

Если сервис уже существует, то после завершения настройки перейдите во вкладку Проверка параметров и нажмите кнопку Сохранить и перезапустить сервисы.

Перейдите в раздел Активные сервисы и убедитесь, что ваш сервис коллектора Syslog запущен.

Вернитесь в MLAD и произведите какое-нибудь системное действие, например, выйдите и снова войдите в систему.

Далее выберите свой активный сервис в KUMA и нажмите кнопку Перейти к событиям.

Cделайте дефолтный SQL-запрос. Вы увидите в списке событие безопасности от MLAD.