How to export events to Splunk [KSC for Windows]

[Antipova Anna]

Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials.

This guide describes how to configure KSC events export to Splunk.

Step-by-step guide

Make sure that System Management license is installed, otherwise KSC events won't be exported to SIEM. 

1. Specify Splunk Server address and port;
   
   
2. Login into Splunk Management console;
   
   
3. Press Settings → Configure data inputs;
   
   
4. In the opened Add Data window 
   - select TCP;
   - Specify Port you are planning to use. And a Source (KSC server address or DNS-name).
   
   
5. Configure Source type: choose Select and pick syslog from drop down menu. Configure Host: set IP for Method 
   
   
6. Check the settings on a result screen;
   
7. Open Splunk home page and press Search & Reporting;
   
   
8. Make sure that KSC were indexed by Splunk correctly as expected;
   
   
9. Right now you are able to see raw KSC events.
   
   

 

[spl18]

Доброго вечера!

В настоящей статье Вы в .9 написали "Прямо сейчас вы можете просматривать необработанные события KSC.", вопросы:

1. Пожалуйста раскройте смысл слова "необработанные" пояснением, как понимаю из статей в help они должны быть в стандартном для splunk формате и  их парсинг должен быть успешный. Статьи имел ввиду эти -https://support.kaspersky.com/help/KSC/13.2/ru-RU/151327.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/89277.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/151331.htm 

2. Будьте любезны подсказать нет ли у вас "образца" или ссылки на обсуждение или источник где можно почерпнуть набор  конфигурационных файлов splunk (transforms.conf, props.conf, tags.conf, eventtypes.conf и т.д.) для аддона Kaspersky Add-on for Splunk (скачать который можно по  https://splunkbase.splunk.com/app/4656 Latest Version 0.1.4 April 10, 2020). Хоть он и старый этот аддон и больше не поддерживается производителем я его использую, но набор конфигов в нём не парсит события из KSC передаваемые в splunk в формате Syslog (RFC 5424) - печаль, полагаю вы наверно сталкивались с такой ситуацией и есть решения, моих неглубоких знаний хватит конечно конфиги поравить но это будет очень медленно, надеюсь на быстрые решения и помощь)

Доп пояснения:

* Использую SIEM SPLUNK (пока тренюсь на бесплатной версии , с ограничением по количеству экспортируемых событий)

* У нас лицензионный KSC 13.2, лицензия позволяет транслировать в SIEM  как в формате CEF так и в формате Syslog (RFC 5424), я выбрал последний, настроил экспорт по UDP протоколу, выбрал экспортируемые события на KSC и в политиках групп, настроил коннектор на индексере splunk, всё отлично накапливается и отображается при поиске в splunk в виде и формате как у Вас на последнем скрине, именно в виде необработанных событий, то есть парсинг не работает( 

[Antipova Anna]

Добрый день!

Под необработанными имеются в виду события в том виде, в котором они поступили в Splunk, то есть до их преобразования для отображения самим Splunk.

К сожалению, конфигурационных файлов Splunk для аддона у нас нет.

Обращаем внимание, что KSC версии 13.2 находится в ограниченной поддержке, поэтому рекомендуем обновиться до последней версии 14.2.

[spl18]

 

Доброго дня!

У меня сейчас так настроено (скрины ниже), настроил неделю назад,  пока разбирался с парсингом обнаружил что события сохраняются только и исключительно либо на сервере KSC (6/7 всех событий) либо улетают в SIEM по syslog (1/7 всех событий) то есть либо там либо там и делается это по не понятной закономерности в противоречии с настройками которые вы видите на скринах , можете пояснить? я настроил экспорт в SIEM всех событий сервера и политик, проверял совпадение в SIEM и в графическом интерфейсе KSC на более 15 уникальных записях, в том числе по времени просто искал, однозначно KSC либо в себя сохраняет событие либо событие отдает в SIEM  а в своей баз не сохраняет.