イベントを SIEM システムにエクスポートするための Kaspersky Security Center の設定

すべて表示 | すべて非表示

Kaspersky Security Center でイベントの自動的なエクスポートを有効にできます。

管理対象アプリケーションから CEF 形式おとび LEEF 形式でエクスポート可能なイベントは一般イベントのみです。アプリケーション固有のイベントは、管理対象アプリケーションから CEF 形式および LEEF 形式でエクスポートできません。管理対象アプリケーションのイベントまたは管理対象アプリケーションのポリシーを使用して設定されたカスタムイベントをエクスポートするには、イベントを Syslog 形式でエクスポートする必要があります。

イベントの自動的なエクスポートを有効にするには：

1. Kaspersky Security Center のコンソールツリーで、イベントをエクスポートする管理サーバーを選択します。
2. 選択した管理サーバーの作業領域で、［イベント］タブを選択します。
3. ［通知とイベントのエクスポートの設定］に隣接するドロップダウン矢印をクリックして、ドロップダウンリストから［SIEM システムへのエクスポートの設定］を選択します。

   イベントのプロパティウィンドウが開き、［イベントのエクスポート］セクションが表示されます。

4. ［イベントのエクスポート］セクションで、次のエクスポート設定を指定します：

   

   イベントのプロパティウィンドウの［イベントのエクスポート］セクション

   • イベントを SIEM システムデータベースへ自動的にエクスポート

     このチェックボックスをオンにすると、SIEM システムへのイベントの自動エクスポートが有効になります。このチェックボックスをオンにすると、［イベントのエクスポート］セクションのすべてのフィールドが有効になります。

   • SIEM システム

     イベントをエクスポートする SIEM システムを選択します：QRadar（LEEF 形式）、ArcSight（CEF 形式）、Splunk（CEF 形式）、Syslog 形式（RFC 5424）。

   • SIEM システムサーバーアドレス

     SIEM システムサーバーアドレスを指定します。アドレスは、DNS または NetBIOS 名または IP アドレスとして指定できます。

   • SIEM システムサーバーのポート

     SIEM システムサーバーへの接続用のポート番号を指定します。このポート番号は、SIEM システムがイベントの受信に使用するポートと同じにする必要があります（詳細については、「SIEM システムの設定」のセクションを参照）。

   • プロトコル

     メッセージを SIEM システムに送信するために使用するプロトコルを選択します。TCP/IP、UDP、TCP プロトコルのいずれかを選択できます。

     TLS over TCP プロトコルを選択した場合は、次の TLS 設定を指定します：

     • SIEM サーバー認証

       次のいずれかの方法を選択して、SIEM システムサーバーを認証します：

       • CA 証明書を使用：信頼できる証明書認証局（CA）から証明書のリストを含むファイルを受け取り、ファイルを Kaspersky Security Center にアップロードできます。Kaspersky Security Center は、SIEM システムサーバーの証明書も CA によって署名されているかどうかを確認します。

         信頼できる証明書を追加するには、［参照］をクリックして、証明書をアップロードします。

         ［CA 証明書を使用］をオンにする場合、［サーバー証明書の発行先（任意）］にサブジェクト名を指定できます。サブジェクト名は、証明書を受け取るドメインの名前です。SIEM システムサーバーのドメイン名が SIEM システムサーバー証明書のサブジェクト名と一致しない場合、Kaspersky Security Center は SIEM システムサーバーに接続できません。ただし、証明書内でサブジェクト名を変更すると、SIEM システムサーバーによりドメイン名が変更されることがあります。これを行うには、サブジェクト名を［サーバー証明書の発行先（任意）］に指定します。指定されたサブジェクト名のいずれかが SIEM システム証明書のサブジェクト名と一致する場合、Kaspersky Security Center は SIEM システムサーバー証明書を検証します。

       • サーバー証明書の SHA-1 サムプリントを使用：SIEM システム証明書の SHA-1 サムプリントを Kaspersky Security Center で指定できます。SHA-1 サムプリントを追加するには、オプションの下のフィールドに入力します。
     • クライアント認証

       クライアント認証用に、自身の証明書を挿入するか、Kaspersky Security Center で生成することができます。

       • Insert certificate：CA など、任意の発行元から受け取った証明書を使用できます。既存の証明書を挿入するには、［証明書の参照］をクリックします。表示された［証明書］ウィンドウで、次のいずれかの証明書の種別を選択して、証明書と秘密鍵を指定します：
         • X.509 証明書：秘密鍵が含まれるファイルを［秘密鍵 (*.prk, *.pem)］にアップロードし、証明書が含まれるファイルを［証明書 (*.cer)］にアップロードします。これを行うには、対応するフィールドの右側にある［参照］をクリックし、必要なファイルを追加します。両方のファイルは相互に依存せず、ファイルを読み込む順序は重要ではありません。両方のファイルをアップロードしたら、秘密鍵をデコードするためのパスワードを［パスワード］に指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
         • PKCS #12 コンテナー：証明書と秘密鍵を含む単一のファイルを［証明書ファイル］にアップロードします。これを行うには、フィールドの右側にある［参照］をクリックし、必要なファイルを追加します。ファイルをアップロードしたら、秘密鍵をデコードするためのパスワードを［パスワード］に指定します。秘密鍵がエンコードされていない場合、パスワードの値は空である可能性があります。
       • Generate key：Kaspersky Security Center で自己署名証明書を生成できます。［証明書の生成］をクリックし、［発行先］にサブジェクト名を入力します。このサブジェクト名に対してクライアント証明書が生成され、この証明書のSHA-1 サムプリントが［クライアント証明書の SHA-1 サムプリント］に表示されます。Kaspersky Security Center は生成された自己署名証明書を保存し、証明書の公開部分または SHA-1 サムプリントを SIEM システムに渡すことができます。

   Syslog 形式を選択する場合は、次を指定する必要があります：

   • 最大メッセージサイズ（バイト）

     SIEM システムにリレーされた 1 つのメッセージの最大サイズ（バイト）を指定します。各イベントは 1 つのメッセージでリレーされます。メッセージの実際の長さが指定の値を上回る場合、メッセージは切り捨てられて、データが失われる可能性があります。既定のサイズは 2048 バイトです。［SIEM システム］で Syslog 形式を選択した場合にだけ、このフィールドを使用できます。

5. 過去の指定した日付を経過した後に発生したイベントを SIEM システムデータベースにエクスポートする場合は、［エクスポート］をクリックして、イベントをエクスポートする開始日を指定します。既定では、イベントのエクスポートは、エクスポートを有効にするとすぐに開始されます。
6. ［OK］をクリックします。

イベントの自動エクスポートが有効になります。

イベントの自動エクスポートを有効にしたら、SIEM システムにエクスポートするイベントを選択します。