Kaspersky
Solved

KSC не отправляет сообытия в SIEM

  • 25 February 2021
  • 5 replies
  • 55 views

KSC 12.2.0.4376 не отправляет события в SIEM. Реакция на события в политиках настроена(нужные галочки стоят и настройки отправки в SIEM так же сделаны). События есть. Уведомления на e-mail в этих же событиях работают. Настроена отправка в SIEM AlienVault OSSIM по порту 514(данный порт прослушивается на хосте SIEM, проверено. Хост доступен.). Пробовал разными форматами LEEF, CEF, Syslog - не отправляет. Функция “Экспортировать архив” тоже не работает. Настроил отправку на syslog-сервер в “Экспорте событий”  - тоже нет сообщений. Wireshark не видит трафика. tcpdump по 514 порту на хосте SIEM тоже не видит активности от KSS(telnet на данный порт открывается и данные принимает).

Лицензию проверил - соответствует, есть “системное администрирование”.

icon

Best answer by Demiad 25 February 2021, 07:21

Лицензию проверил - соответствует, есть “системное администрирование”.

Проверьте и попробуйте добавить повторно если есть (Удалить и снова добавить) лицензию в свойствах сервера KSC.

Лицензия получается “Расширенная/ Total”?

Без добавления лицензии в свойствах сервера отправка не работает точно:

 

View original

5 replies

 @Konstantin Karelin , данная статья Вам попадалась? Может, в ней ответ есть: https://support.kaspersky.com/15161


Да, сейчас удалось настроить отправку событий. Пришлось на стороне SIEM создавать новый плагин. Теперь непонятная ситуация с часовым поясом. отправляет как будто в GMT 0, хотя настройки часового пояса на станции KSC GMT +6.

Userlevel 7
Badge +5

 @Konstantin Karelin , данная статья Вам попадалась? Может, в ней ответ есть: https://support.kaspersky.com/15161

Спасибо. Переустановка ключа помогла. Отправка на syslog и в SIEM заработала.  Но SIEM не может их “распарсить”. Плагин официально только для 10KSC.

Userlevel 7
Badge +5

Лицензию проверил - соответствует, есть “системное администрирование”.

Проверьте и попробуйте добавить повторно если есть (Удалить и снова добавить) лицензию в свойствах сервера KSC.

Лицензия получается “Расширенная/ Total”?

Без добавления лицензии в свойствах сервера отправка не работает точно:

 

И еще вопрос: можно ли как то сменить язык в событиях или во всем ksc? Есть подозрение что OSSIM не может распарсить сообщения в кириллице.

Reply