Интеграция Kaspersky Security Center с Wazuh: Настройка приёма логов через TCP/2514

В современных условиях безопасности ИТ-инфраструктуры централизованный сбор и анализ логов — не просто полезная практика, а необходимость. Если вы используете Kaspersky Security Center (KSC) и хотите передавать его события в систему SIEM на базе Wazuh, данная статья поможет вам быстро и корректно настроить интеграцию через протокол TCP на порту 2514.

Шаг 1: Настройка экспорта логов в Kaspersky Security Center

1. В консоли администрирования Kaspersky Security Center перейдите в раздел Настройки →Общие → Экспорт в SIEM систему.
2. Включите экспорт логов и выберите протокол TCP.
3. Укажите порт 2514 в качестве целевого.
4. Формат данных ArcSight(CEF)

Шаг 2: Подготовка директории и файла для приёма логов на сервере Wazuh

Выполните следующие команды на сервере Wazuh:

sudo mkdir -p /var/log/ksc

sudo touch /var/log/ksc/siem.log

sudo chown syslog:wazuh /var/log/ksc/siem.log

sudo chmod 644 /var/log/ksc/siem.log

Эти команды:

• создают директорию для хранения логов KSC,
• создают файл siem.log,
• назначают корректные права владельца (syslog — стандартный пользователь для rsyslog, wazuh — чтобы агент Wazuh мог читать логи),
• устанавливают безопасные права доступа.

Шаг 3: Настройка rsyslog для приёма логов по TCP

Создайте конфигурационный файл для rsyslog:

sudo nano /etc/rsyslog.d/10-ksc.conf

Вставьте в него следующие строки:

# Загружаем модуль TCP

$ModLoad imtcp

# Слушаем порт 2514 на всех интерфейсах

$InputTCPServerRun 2514

# Шаблон: только сообщение + LF

template(name="KSCLog" type="string" string="%msg%\n")

# Записываем

if $inputname == "imtcp" then /var/log/ksc/siem.log;KSCLog

& stop

Разберём ключевые моменты:

• $ModLoad imtcp — подключает модуль приёма TCP-сообщений.
• $InputTCPServerRun 2514 — запускает прослушку порта 2514.
• Шаблон template(name="KSCLog" type="string" string="%msg%\n") позволяет упростить формат записываемых логов — сохраняя только содержимое сообщения (%msg%) без системных префиксов вроде даты, хоста или тега, которые rsyslog добавляет по умолчанию.
• Условие if $inputname == "imtcp" гарантирует, что только сообщения, пришедшие по TCP, попадают в указанный файл.
• & stop останавливает дальнейшую обработку этих сообщений (чтобы они не дублировались в другие логи, например, /var/log/syslog).

После сохранения файла перезапустите rsyslog:

sudo systemctl restart rsyslog

Шаг 4: Открытие порта 2514 в SELinux (если включён)

Если на сервере включён SELinux, стандартный порт для syslog (514) разрешён по умолчанию, но порт 2514 — нет. Добавьте его в список разрешённых:

sudo semanage port -a -t syslogd_port_t -p tcp 2514

Шаг 5: Проверка работоспособности

1. Убедитесь, что rsyslog слушает порт 2514:

ss -tulnp | grep 2514

Вы должны увидеть строку вроде:

LISTEN 0 256 0.0.0.0:2514 0.0.0.0:* users:(("rsyslogd",pid=...,fd=...))

1. Проверьте, приходят ли логи от KSC:

tail -f /var/log/ksc/siem.log

Если всё настроено верно, вы увидите входящие сообщения от Kaspersky Security Center в реальном времени.

После того как логи успешно поступают в файл /var/log/ksc/siem.log, вы можете:

• Настроить Wazuh Agent на мониторинг этого файла (через локальный ossec.conf или через Wazuh Manager).
• Создать декодеры и правила для парсинга событий KSC.

Что дальше? Пишем правила для KSC в Wazuh и настраиваем оповещения в Telegram

Теперь, когда события от Kaspersky Security Center успешно поступают в Wazuh, пришло время научить систему понимать эти логи и реагировать на критические инциденты.

В следующей статье мы:

• Создадим кастомный декодер и правило обнаружения в Wazuh для событий KSC (например, для фиксации обнаружения вредоносного ПО);
• Настроим уведомления в Telegram с помощью встроенного механизма интеграций Wazuh — чтобы важные алерты приходили прямо в ваш чат;
• Протестируем всю цепочку: от срабатывания в KSC до сообщения в мессенджере.