Kaspersky Secure Mail Gateway: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Kaspersky Secure Mail Gateway в R-Vision SIEM.

Предварительные требования

Для включения экспорта событий в режиме Technical Support Mode требуется предварительно загрузить открытый ключ SSH в веб-интерфейсе приложения.

Настройка Kaspersky Secure Mail Gateway

Вы можете сохранять файлы с экспортированными событиями локально на сервере, а также настроить их публикацию во внешнюю SIEM-систему. Если вам не требуется сохранять файлы локально, пропустите шаги 4—7 из инструкции этого раздела.

Выполните инструкцию ниже на каждом узле кластера, события с которого вы хотите экспортировать в формате CEF.

Чтобы настроить экспорт событий в формате CEF, выполните следующие шаги:

Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode.

Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:

Укажите в блоке siemSettings одно из следующих значений параметра facility, если вы хотите выбрать категорию (facility) для syslog, в которую будут экспортироваться события:

Auth;
Authpriv;
Cron;
Daemon;
Ftp;
Lpr;
Mail;
News;
Syslog;
User;
Uucp;
Local0;
Local1;
Local2;
Local3;
Local4;
Local5;
Local6;

Local7.

Рекомендуется указать категорию (facility) для syslog, которая не используется другими программами на сервере. По умолчанию установлено значение local2.

Установите значение параметра enabled равным true.
Задайте уровень детализации экспорта, установив одно из следующих значений параметра logLevel:
- Error — экспорт событий, связанных с возникновением ошибок;
- Info — экспорт всех событий.
  
  Пример:
  "siemSettings": { "enabled": true, "facility": "Local2", "logLevel": "Info" }

В файле /etc/rsyslog.conf измените строку:

*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messages

на:

*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;<категория (facility), выбранная на шаге 2>.none /var/log/messages

Добавьте в файл /etc/rsyslog.conf следующую строку:

<категория (facility), выбранная на шаге 2>.* -/var/log/ksmg-cef-messages

Создайте файл /var/log/ksmg-cef-messages и настройте права доступа к нему, выполнив следующие команды:
```
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
```
Настройте правила ротации файлов с экспортированными событиями, добавив в файл /etc/logrotate.d/ksmg-syslog следующие строки:
```
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
```
Перезапустите службу rsyslog, выполнив следующую команду:
```
service rsyslog restart
```
В веб-интерфейсе приложения перейдите в раздел Параметры → Журналы и события → События.
Внесите изменение в значение любого параметра.

Нажмите на кнопку Сохранить.

Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.

Экспорт событий в формате CEF настроен.

Настройка отправки событий в SIEM-систему

Перед началом настройки убедитесь, что вы включили экспорт событий в формате CEF.

Выполните инструкцию ниже на каждом узле кластера, события с которого требуется публиковать в SIEM-систему.

Чтобы настроить публикацию событий приложения в SIEM-систему:

Подключитесь к консоли управления виртуальной машиной Kaspersky Secure Mail Gateway под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode.

Укажите адрес и порт подключения к серверу с SIEM-системой, добавив в конец файла /etc/rsyslog.conf следующие строки:

$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
<категория (facility)>.* @@<IP-адрес SIEM-системы>:<порт, на котором SIEM-система принимает сообщения от Syslog по протоколу TCP>

Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.

Перезапустите службу rsyslog, выполнив следующую команду:
```
service rsyslog restart
```

Публикация событий приложения в SIEM-систему настроена.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Kaspersky Secure Mail Gateway.
- Протокол: выберите вариант в соответствии с настройками на стороне Kaspersky Secure Mail Gateway.
Добавьте на конвейер элемент Нормализатор с правилом Kaspersky Secure Mail Gateway (идентификатор правила: RV-N-184).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

kaspersky secure mail gateway pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Kaspersky Secure Mail Gateway.

Найти события Kaspersky Secure Mail Gateway в хранилище можно по следующему фильтру:

device_product = "ksmg"

kaspersky secure mail gateway filter

Была ли полезна эта страница?