Logmanager dokumentace
Přepnout tmavý/světlý/automatický režim Přepnout tmavý/světlý/automatický režim Přepnout tmavý/světlý/automatický režim Zpět na domovskou stránku
  1. Logmanager dokumentace
  2. /
  3. Konfigurace zdrojových zařízení a aplikací
  4. /
  5. Kaspersky Security Center

Kaspersky Security Center

Kaspersky Security Center je balík programů a nástrojů sloužící pro ochranu stanic a serverů s operačním systémem Windows. Obsahuje dvě hlavní části: ochranu klientských stanic a serverů a serverovou administraci.

Obě části generují protokoly o své činnosti, které lze zasílat na server Logmanager.

Požadavky

Serverová administrace Kaspersky Security Center ukládá své zprávy do Windows Event protokolů. Pro získávání dat z těchto protokolů je nutné mít zprovozněný Windows Event Sender (WES) na administračním serveru a na všech klientských stanicích, které jsou připojeny k administračnímu serveru. Pro nastavení zasílání dat na server Logmanager, postupujte prosím podle kapitoly: Microsoft Windows Event Sender (WES) (Deprecated).

Druhou možností je použití Syslog protokolu - funkce SIEM v Kaspersky Security Center.

Logování pomocí WES

Security Center v10.2 - administrační server

Nastavení Security Center pro logování zpráv administračního serveru na server Logmanager:

  1. Otevřete aplikaci Kaspersky Security Center.

  2. V levé části rozbalte menu vašeho připojeného administračního serveru a klikněte na Zprávy a oznámení

  3. V pravé části klikněte na záložku Oznámení, měli byste vidět podobný obrázek:

    Menu Oznámení

    Menu Oznámení

  4. Ve spodní části klikněte na Upravit nastavení událostí administračního serveru

  5. Otevře se nové okno, kde budete moci upravit vlastnosti administračního serveru:

    Vlastnosti administračního serveru - Události

    Vlastnosti administračního serveru - Události

  6. V rozbalovacím menu vyberte kategorii událostí, kterou chcete nastavovat.

  7. Vyberte události, které požadujete logovat (použijte CTRL klávesu nebo stiskněte tlačítko Vybrat vše) a pak stiskněte tlačítko Vlastnosti.

  8. V dalším okně zaškrtněte možnost: V protokolu událostí na administračním serveru a potvrďte kliknutím na tlačítko OK.

    Vlastnosti událostí

    Vlastnosti událostí

    Opakujte tyto kroky pro každou kategorii událostí.

  9. Potvrďte změny stisknutím tlačítka OK.

Po zaktualizování konfigurace agenta WES se automaticky začnou zasílat zprávy do systému Logmanager.

Endpoint Security v10.2 - klientské stanice

Pokud jsou klientské stanice připojené k administračnímu serveru, je možné je centrálně konfigurovat v administračním centru.

Nastavení Endpoint Security pro logování zpráv z klientských stanic na server Logmanager:

  1. Otevřete aplikaci Kaspersky Security Center.

  2. V levé části rozbalte menu vašeho připojeného administračního serveru a klikněte na Zprávy a oznámení

  3. V pravé části klikněte na záložku Oznámení, měli byste vidět podobný obrázek:

    Menu Oznámení

    Menu Oznámení

  4. Ve spodní části klikněte na Upravit nastavení událostí aplikace Kaspersky Endpoint Security

  5. Otevře se nové okno, kde budete moci upravit vlastnosti aplikace Endpoint Security:

    Vlastnosti Endpoint Security - Události

    Vlastnosti Endpoint Security - Události

  6. V rozbalovacím menu vyberte kategorii událostí, kterou chcete nastavovat.

    Aby se nastavení projevilo na všech stanicích, které jsou připojené k administračnímu serveru, je potřeba mít ikonku zámku ve stavu „Zamknuto“.

  7. Vyberte události, které požadujete logovat (použijte CTRL klávesu nebo stiskněte tlačítko Vybrat vše) a pak stiskněte tlačítko Vlastnosti.

  8. V dalším okně zaškrtněte možnost: V protokolu událostí v klientském počítači a potvrďte kliknutím na tlačítko OK.

    Vlastnosti událostí

    Vlastnosti událostí

    Opakujte tyto kroky pro každou kategorii událostí.

  9. Potvrďte změny stisknutím tlačítka OK.

Po zaktualizování konfigurace agenta WES se automaticky začnou zasílat zprávy do systému Logmanager.

Security Center v10.4 - Administration Server

Nastavení Security Center pro logování zpráv administračního serveru na server Logmanager:

  1. Otevřete aplikaci Kaspersky Security Center.

  2. V levé části rozbalte menu vašeho připojeného administračního serveru, pravým tlačítkem myši zvolte Properties.

    Nabídka administračního serveru

    Nabídka administračního serveru

  3. V levé části zvolte Event notification. Vyberte kategorii událostí, kterou chcete nastavovat.

    Vlastnosti administračního serveru

    Vlastnosti administračního serveru

  4. Vyberte události, které požadujete logovat. Použijte klávesu CTRL.

  5. Ve spodní části klikněte na tlačítko Properties.

  6. Otevře se nové okno, kde budete moci upravit vlastnosti administračního serveru:

    Vlastnosti události

    Vlastnosti události

  7. Zaškrtněte možnost: In the OS event log on Administration Server a potvrďte kliknutím na tlačítko OK.

    Opakujte tyto kroky pro každou událost.

  8. Potvrďte změny stisknutím tlačítka OK.

Po zaktualizování konfigurace agenta WES se automaticky začnou zasílat zprávy do systému Logmanager.

Endpoint Security v10.4 - klientské stanice

Pokud jsou klientské stanice připojené k administračnímu serveru, je možné je centrálně konfigurovat v administračním centru.

Nastavení Endpoint Security pro logování zpráv z klientských stanic na server Logmanager:

  1. Otevřete aplikaci Kaspersky Security Center.

  2. V levé části rozbalte menu vašeho připojeného administračního serveru a klikněte na Policies.

  3. Vyberte politiku, u které požadujete nastavit logování a zvolte Properties.

    Seznam politik

    Seznam politik

  4. V levé části zvolte Event notification. Vyberte kategorii událostí, kterou chcete nastavovat.

    Vlastnosti politiky

    Vlastnosti politiky

  5. Vyberte události, které požadujete logovat. Použijte klávesu CTRL.

  6. Ve spodní části klikněte na tlačítko Properties.

  7. Otevře se nové okno, kde budete moci upravit vlastnosti události:

    Vlastnosti události

    Vlastnosti události

  8. Zaškrtněte možnost: In the OS event log on Administration Server a potvrďte kliknutím na tlačítko OK.

    Opakujte tyto kroky pro každou událost.

  9. Potvrďte změny stisknutím tlačítka OK.

Po zaktualizování konfigurace agenta WES se automaticky začnou zasílat zprávy do systému Logmanager.

Logování pomocí Syslog

Security Center v10.4 - administrační server

Nastavení Security Center pro logování zpráv administračního serveru na server Logmanager:

  1. Otevřete aplikaci Kaspersky Security Center.

  2. V levé části menu zvolte administrační server, vyberte kartu Events.

  3. Zvolte Configure export to SIEM system.

    Configure export to SIEM system

    Configure export to SIEM system

  4. V sekci Exporting events zadejte:

    • Automatically export events to SIEM system database,
    • SIEM system: ArcSight (CEF format),
    • SIEM system server address: IP adresa Logmanager serveru,
    • SIEM system server port: 514,
    • Protocol: UDP.

    Hodnoty uložte kliknutím na tlačítko OK.

    Exporting events

    Exporting events

  5. V levé části rozbalte menu vašeho připojeného administračního serveru, pravým tlačítkem myši zvolte Properties.

    Nabídka administračního serveru

    Nabídka administračního serveru

  6. V levé části zvolte Event notification. Vyberte kategorii událostí, kterou chcete nastavovat.

    Vlastnosti administračního serveru

    Vlastnosti administračního serveru

  7. Vyberte události, které požadujete logovat. Použijte klávesu CTRL.

  8. Ve spodní části klikněte na tlačítko Properties.

  9. Otevře se nové okno, kde budete moci upravit vlastnosti administračního serveru:

    Vlastnosti události

    Vlastnosti události

  10. Zaškrtněte možnost: Export to SIEM system via Syslog a potvrďte kliknutím na tlačítko OK.

    Opakujte tyto kroky pro každou událost.

  11. Potvrďte změny stisknutím tlačítka OK.

  12. Pokračujte nastavením v Logmanager serveru. V menu Parser ‣ IP prefix listy editujte hodnotu Arcsight_cef device list a vložte adresu, kde je spuštěn Kaspersky Security Center server.

Endpoint Security v10.4 - klientské stanice

Pokud jsou klientské stanice připojené k administračnímu serveru, je možné je v něm centrálně konfigurovat.

Nastavení Endpoint Security pro logování zpráv z klientských stanic na server Logmanager:

  1. Otevřete aplikaci Kaspersky Security Center.

  2. V levé části rozbalte menu vašeho připojeného administračního serveru a klikněte na Policies.

  3. Vyberte politiku, u které požadujete nastavit logování a zvolte Properties.

    Seznam politik

    Seznam politik

  4. V levé části zvolte Event notification. Vyberte kategorii událostí, kterou chcete nastavovat

    Vlastnosti politiky

    Vlastnosti politiky

  5. Vyberte události, které požadujete logovat. Použijte klávesu CTRL.

  6. Ve spodní části klikněte na tlačítko Properties.

  7. Otevře se nové okno, kde budete moci upravit vlastnosti události:

    Vlastnosti události

    Vlastnosti události

  8. Zaškrtněte možnost: Export to SIEM system via Syslog a potvrďte kliknutím na tlačítko OK.

    Opakujte tyto kroky pro každou událost.

  9. Potvrďte změny stisknutím tlačítka OK.

Po zaktualizování konfigurace agenta WES se automaticky začnou zasílat zprávy do systému Logmanager.

gdoc_arrow_left_alt Juniper SRX Series Services Gateway Kerio Connect gdoc_arrow_right_alt