Сценарий: Оқиғаларды SIEM жүйелеріне экспорттауды конфигурациялау
Kaspersky Security Center бағдарламасы конфигурациялауды бір тәсілмен орындауға мүмкіндік береді: Syslog пішімін пайдаланатын кез келген SIEM жүйесіне экспорттау, LEEF және CEF пішімдерін пайдаланатын QRadar, Splunk, ArcSight SIEM жүйелеріне экспорттау немесе оқиғаларды тікелей Kaspersky Security Center дерекқорынан SIEM жүйелеріне экспорттау. Осы сценарий аяқталғаннан кейін, Басқару сервері оқиғаларды автоматты түрде SIEM жүйесіне жібереді.
Алдын ала талаптар
Kaspersky Security Center бағдарламасына оқиғаларды экспорттауды конфигурациялауды бастамас бұрын:
- Оқиғаларды экспорттау әдістері туралы көбірек біліңіз.
- Сізде жүйелік параметрлердің мәндері бар екеніне көз жеткізіңіз.
Сіз осы сценарийдің қадамдарын қалаған тәртіппен орындай аласыз.
Оқиғаларды SIEM жүйесіне экспорттау процесі келесі қадамдардан тұрады:
- Kaspersky Security Center-ден оқиғаларды алу үшін SIEM жүйесін конфигурациялау
Нұсқаулар: Оқиғаларды SIEM жүйесінде экспорттауды конфигурациялау.
- SIEM жүйесіне экспорттағыңыз келетін оқиғаны таңдау:
Нұсқаулар:
- Басқару консолі: Syslog пішімінде экспорттау үшін "Лаборатория Касперского" бағдарламаларының оқиғаларын таңдау, Syslog пішімінде экспорттау үшін жалпы оқиғаларды таңдау.
- Kaspersky Security Center Web Console: Syslog пішімінде экспорттау үшін "Лаборатория Касперского" бағдарламаларының оқиғаларын таңдау, Syslog пішімінде экспорттау үшін жалпы оқиғаларды таңдау.
- Оқиғаларды SIEM жүйесіне экспорттауды келесі тәсілдердің бірімен конфигурациялау:
- TCP/IP, UDP немесе TLS over TCP протоколдарын көрсетіңіз.
Нұсқаулар:
- Басқару консолі: Оқиғаларды SIEM жүйелеріне экспорттауды конфигурациялау.
- Kaspersky Security Center Web Console: Оқиғаларды SIEM жүйелеріне экспорттауды конфигурациялау.
- Оқиғаларды тікелей Kaspersky Security Center дерекқорынан экспорттауды қолдану. Kaspersky Security Center дерекқорында көпшілікке арналған көріністер жиынтығы ұсынылған; сіз осы жалпыға қолжетімді көріністердің сипаттамасын klakdb.chm құжатында таба аласыз.
- TCP/IP, UDP немесе TLS over TCP протоколдарын көрсетіңіз.
Нәтижелер
Оқиғаларды SIEM жүйесіне экспорттауды конфигурациялағаннан кейін, экспорттағыңыз келетін оқиғаларды таңдаған болсаңыз, экспорт нәтижелерін қарай аласыз.