Интеграция Kaspersky MLAD с KUMA по Syslog

1. 

 Описание задачи 

 Данный документ описывает процесс настройки Kaspersky MLAD для интеграции с KUMA по протоколу Syslog . 

 Цель данной интеграции – обеспечить передачу событий безопасности из Kaspersky MLAD в SIEM систему для обеспечения мер информационной безопасности в инфраструктуре клиента. 

 Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции. 

 

 

 2. 

 Реализация задачи 

 Первым шагом необходимо настроить CEF -коннектор в составе Kaspersky MLAD на передачу событий безопасности в SIEM -систему. 

 Для этого перейдите в Меню администратора , затем в Системные параметры , затем в настройки CEF -коннектора . 

 Здесь вам необходимо активировать переключатель Отправлять журналы событий информационной безопасности на Syslog -сервер , указать тип транспорта ( TCP или UDP ), указать адрес и порт Syslog -сервера. Если вы планируете использовать защищенное TLS -соединение, то вам необходимо также загрузить сертификат/закрытый ключ клиента и CA -сертификат для верификации серверной стороны. 

 

 После этого перейдите в основное меню, далее в Службы, затем в раздел Коннекторы . Запустите службу CEF connector , или перезапустите ее, если вы вносили изменения в настройки. 

 

 На этом настройка со стороны MLAD закончена. 

 В KUMA перейдите в раздел Ресурсы , затем Коллекторы . 

 

 В состав поставки KUMA входит предварительно настроенный коллектор [ OOTB ] Syslog CEF . Создайте копию на основе данного коллектора и перейдите в его настройки. Основные настройки подключения задаются на вкладке Транспорт . 

 

 Укажите тип протокола, интерфейс и порт, на котором KUMA будет принимать подключение по Syslog . Убедитесь, что настройки подключения в MLAD совпадают с настройками в данной вкладке. 

 Настройки остальных вкладок не влияют на прием сообщений Syslog . Во вкладке Парсинг событий вы можете настроить, как будут парситься события Syslog , полученные от MLAD . Для этого вам предварительно необходимо создать соответствующий парсер. Процесс создания и настройки парсера описан в документации на KUMA , и в данном документе не затрагивается, 

 После завершения настройки вам сначала будет необходимо будет создать соответствующий сервис. 

 

 Для этого необходимо выполнить предложенную команду (через sudo ) на машине с KUMA. 

 

 Если сервис уже существует, то после завершения настройки перейдите во вкладку Проверка параметров и нажмите кнопку Сохранить и перезапустить сервисы . 

 

 Перейдите в раздел Активные сервисы и убедитесь, что ваш сервис коллектора Syslog запущен. 

 

 Вернитесь в MLAD и произведите какое-нибудь системное действие, например, выйдите и снова войдите в систему. 

 Далее выберите свой активный сервис в KUMA и нажмите кнопку Перейти к событиям. 

 

 C делайте дефолтный SQL -запрос. Вы увидите в списке событие безопасности от MLAD .