Kaspersky Anti Targeted Attack Platform: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Kaspersky Anti Targeted Attack Platform в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что обеспечена сетевая доступность между сервером Kaspersky Anti Targeted Attack Platform и коллектором R-Vision SIEM.

Настройка Kaspersky Anti Targeted Attack Platform

Для настройки пересылки событий из Kaspersky Anti Targeted Attack Platform в R-Vision SIEM выполните следующие шаги:

  1. Откройте веб-консоль центрального узла Kaspersky Anti Targeted Attack Platform.

  2. Установите флажок Локальный администратор.

  3. Введите данные учетной записи администратора.

  4. Перейдите в раздел Параметры → SIEM-система.

  5. Заполните необходимые поля:

    • Данные для отправки: установите флажки Журнал активности и Обнаружения.

    • Хост/IP: введите IP-адрес или FQDN-адрес коллектора R-Vision SIEM.

    • Порт: введите порт коллектора R-Vision SIEM.

    • Протокол: выберите протокол TCP или UDP.

    • ID хоста: введите идентификатор хоста сервера, который будет указан в журнале R-Vision SIEM как источник обнаружения.

    • Периодичность сигнала: введите количество минут в диапазоне 1—59.

    • TLS-шифрование: при необходимости включите данную опцию (по умолчанию отключена).

  6. Нажмите на кнопку Применить.

    siem system integration

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Kaspersky Anti Targeted Attack Platform.

    • Протокол: выберите вариант в соответствии с настройками на стороне Kaspersky Anti Targeted Attack Platform.

  3. Добавьте на конвейер элемент Нормализатор с правилом Kaspersky Anti Targeted Attack Platform (идентификатор правила: RV-N-181).

  4. Соедините нормализатор с точкой входа.

  5. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  6. Соедините конечную точку с нормализатором.

  7. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

kata pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Kaspersky Anti Targeted Attack Platform.

Найти события Kaspersky Anti Targeted Attack Platform в хранилище можно по следующему фильтру:

dproduct = "Kaspersky Anti Targeted Attack Platform"

kata events search

Перечень событий

С перечнем событий можно ознакомиться в официальной документации Kaspersky.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь