Kaspersky Web Traffic Security
Данное руководство описывает процесс настройки сбора и отправки событий Kaspersky Web Traffic Security в R-Vision SIEM.
Настройка Kaspersky Web Traffic Security
Настройка журналирования Kaspersky Web Traffic Security
Для настройки rsyslog выполните следующие действия:
-
Подключитесь к консоли управления Kaspersky Web Traffic Security.
-
Если Kaspersky Web Traffic Security был установлен из ISO-файла, подключитесь к консоли управления Kaspersky Web Traffic Security с помощью учетной записи root по протоколу SSH.
Информацию о загрузке ключа можно найти в разделе Настройка SSH-доступа. -
Eсли Kaspersky Web Traffic Security был установлен из RPM- или DEB-пакета, запустите командную оболочку операционной системы для выполнения команд с полномочиями суперпользователя (администратора системы).
-
-
Из веб-меню администратора перейдите в меню настройки syslog. Запомните или запишите значение Syslog facility, используемого основной системой. Данное значение может меняться в зависимости от инсталляции.
-
События передаются во внешнюю SIEM-систему с помощью системной службы ведения журналов rsyslog. Убедитесь, что служба установлена и запущена, с помощью команды:
systemctl status rsyslog-
Если служба установлена и запущена, ее статус будет
running. -
Если служба rsyslog не запущена или отсутствует, установите и активируйте службу rsyslog согласно документации вашей операционной системы.
-
-
Укажите адрес и порт подключения к серверу с SIEM-системой. Для этого создайте файл /etc/rsyslog.d/kwts-cef-messages.conf и добавьте в него следующие строки:
$ActionQueueFileName ForwardToSIEM5 $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1 <facility>.* @@<IP-адрес любого доступного рабочего узла SIEM>:<Номер выбранного порта вашей точки входа> <facility>.* stopЗдесь:
-
<facility>— значение Syslog facility, которое вы посмотрели на шаге 2. По умолчанию значение Syslog facility —local5.
-
-
Перезапустите службу rsyslog с помощью команды:
systemctl restart rsyslog
Отправка событий Kaspersky Web Traffic Security
Перед включением экспорта событий в формате CEF требуется установить пакет обновления siem_logging_fixes.zip на каждом узле кластера Kaspersky Web Traffic Security. Пакет обновления предоставляется по запросу в службу технической поддержки.
Выполните следующие шаги на каждом узле кластера, события с которого требуется экспортировать в формате CEF.
-
Подключитесь к консоли управления Kaspersky Web Traffic Security.
-
Если Kaspersky Web Traffic Security был установлен из ISO-файла, подключитесь к консоли управления виртуальной машиной Kaspersky Web Traffic Security под учетной записью root, используя закрытый ключ SSH. Будет осуществлен вход в Technical Support Mode.
-
Если Kaspersky Web Traffic Security был установлен из RPM- или DEB-пакета, запустите командную оболочку операционной системы для выполнения команд с полномочиями суперпользователя (администратора системы).
-
-
Перейдите в каталог
/opt/kaspersky/kwts/share/templates/core_settingsи создайте резервную копию файла event_logger.json.template с помощью команды:cp -p event_logger.json.template event_logger.json.template.backup -
Откройте файл event_logger.json.template в режиме редактирования и, соблюдая синтаксис и структуру JSON-файла, в секции
siemSettingsукажите следующие значения параметров:-
enabled: true; -
facility: Local5— указанный ранее на шаге настройки rsyslog; -
logLevel: Info.
-
-
В веб-интерфейсе приложения в разделе Параметры → Журналы и события внесите изменения в значение любого параметра и нажмите на кнопку Сохранить. Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого можно вернуть исходное значение измененного параметра.
-
Убедитесь, что изменения применены, с помощью команды:
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettingsРезультат выполнения команды должен содержать параметры со значениями, указанными на шаге 3.
Экспорт событий в формате CEF настроен.
Настройка в R-Vision SIEM
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в диапазоне 30 000—32 000, указанное ранее в разделе отправки событий Kaspersky Web Traffic Security.
-
Протокол: выберите вариант в соответствии с настройками на стороне Kaspersky Web Traffic Security.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Kaspersky Web Traffic Security (идентификатор правила: RV-N-52).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
Если настройка выполнена корректно, после настройки передачи событий в хранилище начнут поступать события Kaspersky Web Traffic Security.
|
Найти события Kaspersky Web Traffic Security в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.
Настройка SSH-доступа
Настройка отправки событий осуществляется с помощью Technical Support Mode, доступ к которому можно получить только через SSH-интерфейс. Для первичного входа в SSH-интерфейс необходимо загрузить свой персональный ключ доступа SSH через интерфейс администратора.
Для загрузки ключа выполните следующие операции:
-
Войдите в веб-интерфейс Kaspersky Web Traffic Security под учетной записью Administrator. Пароль к данной учетной записи устанавливается во время установки продукта.
-
Сгенерируйте свой ключ на любой машине.
Пример 1. Пример команды для генерации ключа на Linux-машинеssh-keygen -t rsa -
В меню веб-интерфейса вставьте публичный ключ
<filename>.pub.
