이벤트 내보내기 정보

Kaspersky Security Center Linux에서는 관리 중인 장치에 설치된 중앙 관리 서버 및 Kaspersky 애플리케이션의 작동 중에 발생한 이벤트 정보를 볼 수 있습니다. 이벤트에 대한 정보는 중앙 관리 서버 데이터베이스에 저장됩니다.

조직 및 기술 레벨에서 보안 문제를 처리하고, 보안 모니터링 서비스를 제공하고, 여러 솔루션의 정보를 통합하는 중앙 집중식 시스템 내에서 이벤트 내보내기를 사용할 수 있습니다. 네트워크 하드웨어 및 애플리케이션이나 SOC(보안 운영 센터)에서 생성하는 보안 경고와 이벤트의 실시간 분석 기능을 제공하는 이러한 시스템을 SIEM 시스템이라고 합니다.

이러한 시스템은 네트워크, 보안, 서버, 데이터베이스, 애플리케이션 등의 여러 경로에서 데이터를 수집할 수 있습니다. 또한 SIEM 시스템은 심각 이벤트 누락을 방지할 수 있도록 모니터링된 데이터를 통합하는 기능도 제공합니다. 그리고 곧 발생할 것으로 예상되는 보안 문제를 관리자에게 알리기 위해 상관 관계가 지정된 이벤트와 경고의 자동 분석도 수행합니다. 경고는 대시보드를 통해 구현할 수도 있고 이메일 등의 타사 채널을 통해 전송할 수도 있습니다.

Kaspersky Security Center Linux에서 외부 SIEM 시스템으로 이벤트를 내보내는 프로세스의 당사자는 이벤트 발신자(Kaspersky Security Center Linux)와 이벤트 수신자(SIEM 시스템)입니다. 이벤트를 성공적으로 내보내려면 SIEM 시스템 및 Kaspersky Security Center Linux 관리 콘솔에서 이를 구성해야 합니다. 구성 순서는 중요하지 않습니다. 즉, Kaspersky Security Center Linux에서 이벤트 전송을 구성한 후에 SIEM 시스템의 이벤트 수신을 구성할 수도 있고 그 반대 순서로 구성할 수도 있습니다.

이벤트 내보내기의 Syslog 형식

모든 SIEM 시스템에 Syslog 형식의 이벤트를 보낼 수 있습니다. Syslog 형식을 사용하여 중앙 관리 서버 및 관리 중인 장치에 설치된 Kaspersky 애플리케이션에서 발생하는 모든 이벤트를 전달할 수 있습니다. Syslog 형식으로 이벤트를 내보낼 때는 SIEM 시스템으로 전달할 이벤트 유형을 정확하게 선택할 수 있습니다.

SIEM 시스템의 이벤트 수신

SIEM 시스템은 Kaspersky Security Center Linux에서 이벤트를 받아서 올바르게 구문 분석해야 합니다. 따라서 SIEM 시스템을 적절하게 구성해야 합니다. 구성은 사용하는 특정 SIEM 시스템에 따라 달라집니다. 그러나 수신기와 파서 구성 등 모든 SIEM 시스템 구성에서 일반적으로 수행하는 여러 단계가 있습니다.