Kaspersky Security Center

Kaspersky Security Center je balík programů a nástrojů sloužící pro ochranu stanic a serverů s operačním systémem Windows. Obsahuje dvě hlavní části: ochranu klientských stanic a serverů a serverovou administraci.

Obě části generují protokoly o své činnosti, které lze zasílat na server Logmanager.

Serverová administrace Kaspersky Security Center ukládá své zprávy do Windows Event protokolů. Pro získávání dat z těchto protokolů je nutné mít zprovozněný Windows Event Sender (WES) na administračním serveru a na všech klientských stanicích, které jsou připojeny k administračnímu serveru. Pro nastavení zasílání dat na server Logmanager, postupujte prosím podle kapitoly: Microsoft Windows Event Sender (WES) (Deprecated).

Druhou možností je použití Syslog protokolu - funkce SIEM v Kaspersky Security Center.

Nastavení Security Center pro logování zpráv administračního serveru na server Logmanager:

1. Otevřete aplikaci Kaspersky Security Center.

2. V levé části rozbalte menu vašeho připojeného administračního serveru a klikněte na Zprávy a oznámení

3. V pravé části klikněte na záložku Oznámení, měli byste vidět podobný obrázek:

   

4. Ve spodní části klikněte na Upravit nastavení událostí administračního serveru

5. Otevře se nové okno, kde budete moci upravit vlastnosti administračního serveru:

   

6. V rozbalovacím menu vyberte kategorii událostí, kterou chcete nastavovat.

7. Vyberte události, které požadujete logovat (použijte CTRL klávesu nebo stiskněte tlačítko Vybrat vše) a pak stiskněte tlačítko Vlastnosti.

8. V dalším okně zaškrtněte možnost: V protokolu událostí na administračním serveru a potvrďte kliknutím na tlačítko OK.

   

   Opakujte tyto kroky pro každou kategorii událostí.

9. Potvrďte změny stisknutím tlačítka OK.

Po zaktualizování konfigurace agenta WES se automaticky začnou zasílat zprávy do systému Logmanager.

Pokud jsou klientské stanice připojené k administračnímu serveru, je možné je centrálně konfigurovat v administračním centru.

Nastavení Endpoint Security pro logování zpráv z klientských stanic na server Logmanager:

1. Otevřete aplikaci Kaspersky Security Center.

2. V levé části rozbalte menu vašeho připojeného administračního serveru a klikněte na Zprávy a oznámení

3. V pravé části klikněte na záložku Oznámení, měli byste vidět podobný obrázek:

   

4. Ve spodní části klikněte na Upravit nastavení událostí aplikace Kaspersky Endpoint Security

5. Otevře se nové okno, kde budete moci upravit vlastnosti aplikace Endpoint Security:

   

6. V rozbalovacím menu vyberte kategorii událostí, kterou chcete nastavovat.

   Aby se nastavení projevilo na všech stanicích, které jsou připojené k administračnímu serveru, je potřeba mít ikonku zámku ve stavu „Zamknuto“.

7. Vyberte události, které požadujete logovat (použijte CTRL klávesu nebo stiskněte tlačítko Vybrat vše) a pak stiskněte tlačítko Vlastnosti.

8. V dalším okně zaškrtněte možnost: V protokolu událostí v klientském počítači a potvrďte kliknutím na tlačítko OK.

   

   Repeat these steps for each event category.

9. Potvrďte změny stisknutím tlačítka OK.

Po zaktualizování konfigurace agenta WES se automaticky začnou zasílat zprávy do systému Logmanager.

Nastavení Security Center pro logování zpráv administračního serveru na server Logmanager:

1. Otevřete aplikaci Kaspersky Security Center.

2. V levé části rozbalte menu vašeho připojeného administračního serveru, pravým tlačítkem myši zvolte Properties.

   

3. V levé části zvolte Event notification. Vyberte kategorii událostí, kterou chcete nastavovat.

   

4. Vyberte události, které požadujete logovat. Použijte klávesu CTRL.

5. Ve spodní části klikněte na tlačítko Properties.

6. Otevře se nové okno, kde budete moci upravit vlastnosti administračního serveru:

   

7. Zaškrtněte možnost: In the OS event log on Administration Server a potvrďte kliknutím na tlačítko OK.

   Opakujte tyto kroky pro každou událost.

8. Potvrďte změny stisknutím tlačítka OK.

Po zaktualizování konfigurace agenta WES se automaticky začnou zasílat zprávy do systému Logmanager.

Pokud jsou klientské stanice připojené k administračnímu serveru, je možné je centrálně konfigurovat v administračním centru.

Nastavení Endpoint Security pro logování zpráv z klientských stanic na server Logmanager:

1. Otevřete aplikaci Kaspersky Security Center.

2. V levé části rozbalte menu vašeho připojeného administračního serveru a klikněte na Policies.

3. Vyberte politiku, u které požadujete nastavit logování a zvolte Properties.

   

4. V levé části zvolte Event notification. Vyberte kategorii událostí, kterou chcete nastavovat.

   

5. Vyberte události, které požadujete logovat. Použijte klávesu CTRL.

6. Ve spodní části klikněte na tlačítko Properties.

7. Otevře se nové okno, kde budete moci upravit vlastnosti události:

   

8. Zaškrtněte možnost: In the OS event log on Administration Server a potvrďte kliknutím na tlačítko OK.

   Opakujte tyto kroky pro každou událost.

9. Potvrďte změny stisknutím tlačítka OK.

Po zaktualizování konfigurace agenta WES se automaticky začnou zasílat zprávy do systému Logmanager.

Nastavení Security Center pro logování zpráv administračního serveru na server Logmanager:

1. Otevřete aplikaci Kaspersky Security Center.

2. V levé části menu zvolte administrační server, vyberte kartu Events.

3. Zvolte Configure export to SIEM system.

   

4. V sekci Exporting events zadejte:

   • Automatically export events to SIEM system database,
   • SIEM system: ArcSight (CEF format),
   • SIEM system server address: IP adresa Logmanager serveru,
   • SIEM system server port: 514,
   • Protocol: UDP.

   Hodnoty uložte kliknutím na tlačítko OK.

   

5. V levé části rozbalte menu vašeho připojeného administračního serveru, pravým tlačítkem myši zvolte Properties.

   

6. V levé části zvolte Event notification. Vyberte kategorii událostí, kterou chcete nastavovat.

   

7. Vyberte události, které požadujete logovat. Použijte klávesu CTRL.

8. Ve spodní části klikněte na tlačítko Properties.

9. Otevře se nové okno, kde budete moci upravit vlastnosti administračního serveru:

   

   10.Zaškrtněte možnost: Export to SIEM system via Syslog a potvrďte kliknutím na tlačítko OK.

   Opakujte tyto kroky pro každou událost.

10. Potvrďte změny stisknutím tlačítka OK.

11. Pokračujte nastavením v Logmanager serveru. V menu Parser ‣ IP prefix listy editujte hodnotu Arcsight_cef device list a vložte adresu, kde je spuštěn Kaspersky Security Center server.

Pokud jsou klientské stanice připojené k administračnímu serveru, je možné je centrálně konfigurovat v administračním centru.

Nastavení Endpoint Security pro logování zpráv z klientských stanic na server Logmanager:

1. Otevřete aplikaci Kaspersky Security Center.

2. V levé části rozbalte menu vašeho připojeného administračního serveru a klikněte na Policies.

3. Vyberte politiku, u které požadujete nastavit logování a zvolte Properties.

   

4. V levé části zvolte Event notification. Vyberte kategorii událostí, kterou chcete nastavovat

   

5. Vyberte události, které požadujete logovat. Použijte klávesu CTRL.

6. e spodní části klikněte na tlačítko Properties.

7. Otevře se nové okno, kde budete moci upravit vlastnosti události:

   

8. Zaškrtněte možnost: Export to SIEM system via Syslog a potvrďte kliknutím na tlačítko OK.

   Opakujte tyto kroky pro každou událost.

9. Potvrďte změny stisknutím tlačítka OK.

Po zaktualizování konfigurace agenta WES se automaticky začnou zasílat zprávy do systému Logmanager.