KSMG 2.0
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Настройка передачи событий KSMG в KUMA
Данная инструкция применима для KSMG версии 2.0
Чтобы настроить передачу событий KSMG в KUMA:
1. Подключитесь к серверу KSMG по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.
2. Внесите следующие изменения в файл с параметрами экспорта событий /opt/kaspersky/ksmg/share/templates/core_settings/event_logger.json.template:
"siemSettings":
{
"enabled": true,
"facility": "Local2",
"logLevel": "Info",
"formatting":
{Прочие параметры оставьте без изменений.
Перед внесением изменений в файл /etc/rsyslog.conf рекомендуется сделать его резервную копию. Ошибка при редактировании файла может привести к некорректной работе системы.
3. В файле /etc/rsyslog.conf измените строку:
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none /var/log/messagesна
*.info;mail.none;authpriv.none;cron.none;local0.none;local1.none;local2.none /var/log/messages4. Добавьте в файл /etc/rsyslog.conf следующую строку:
local2.* -/var/log/ksmg-cef-messages5. Создайте файл /var/log/ksmg-cef-messages и настройте права доступа к нему. Для этого выполните команды:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages6. Настройте правила ротации файлов с экспортированными событиями. Для этого добавьте в файл /etc/logrotate.d/ksmg-syslog следующие строки:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}7. Перезапустите сервис rsyslog с помощью следующей команды:
service rsyslog restartЕсли вам не требуется сохранять файлы локально, пропустите шаги 4–7 из инструкции выше
8. В веб-интерфейсе приложения в разделе Параметры → Журналы и события → События внесите изменение в значение любого параметра и нажмите на кнопку Сохранить.
Это необходимо для синхронизации параметров между узлами кластера и применения изменений, внесенных в конфигурационный файл. После этого вы можете вернуть исходное значение измененного параметра.
9. Внесите следующие изменения в файл /etc/rsyslog.conf:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @<IP-адрес коллектора KUMA>:<порт коллектора>Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:
local2.* @@<IP-адрес коллектора KUMA>:<порт коллектора>10. Перезапустите службу rsyslog. Для этого выполните команду:
service rsyslog restartНастройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KSMG.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне KSMG.
2. На шаге Парсинг событий выберите нормализатор [OOTB] KSMG.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.
Полезные ссылки
Публикация событий в SIEM-систему (онлайн-справка KSMG): https://support.kaspersky.com/KSMG/2.0.1/ru-RU/151504.htm
No Comments