Configurar la exportación de eventos en un sistema SIEM
El proceso de exportación de eventos de Kaspersky Security Center Cloud Console a un sistema SIEM involucra dos participantes: un remitente de eventos (Kaspersky Security Center Cloud Console) y un receptor de eventos (el sistema SIEM). La exportación de eventos debe configurarse tanto en el sistema SIEM como en Kaspersky Security Center Cloud Console.
Los ajustes que especifique en el sistema SIEM dependerán del sistema particular que esté utilizando. En general, para todo sistema SIEM, deberá configurar un receptor y, opcionalmente, un analizador que procese los eventos recibidos.
Configuración del receptor
Para recibir los eventos transmitidos por Kaspersky Security Center Cloud Console, se necesita configurar un receptor en el sistema SIEM. Por lo general, deberá especificar los valores de los siguientes parámetros dentro del sistema SIEM:
- Puerto
Indique el número de puerto utilizado para conectarse a Kaspersky Security Center Cloud Console. El puerto debe ser el mismo que haya especificado en Kaspersky Security Center Cloud Console al configurar la exportación al sistema SIEM.
- Protocolo de mensajes o tipo de origen
Elija el formato Syslog.
Según el sistema SIEM que utilice, deberá configurar algunas opciones adicionales del receptor.
Analizadores de mensajes
Los eventos exportados se transfieren al sistema SIEM en forma de mensajes. Estos mensajes deben analizarse; de lo contrario, el sistema SIEM no puede hacer uso de la información de los eventos. Los analizadores de mensajes son parte del sistema SIEM; están diseñados para leer el contenido de cada mensaje y extraer de este los campos relevantes (id. del evento, gravedad, descripción, parámetros, etc.). El análisis permite que el sistema SIEM procese los eventos que recibe de Kaspersky Security Center Cloud Console y que los almacene en su base de datos.