Acerca de la configuración de la exportación de eventos en un sistema SIEM

Expandir todo | Contraer todo

El proceso de exportación de eventos desde Kaspersky Security Center a sistemas SIEM externos involucra a dos partes: un remitente de eventos (Kaspersky Security Center) y un destinatario para los eventos (el sistema SIEM). Debe configurar la exportación de eventos en su sistema SIEM y en Kaspersky Security Center.

La configuración que especifique en el sistema SIEM depende del sistema particular que esté utilizando. Generalmente, para todos los sistemas SIEM debe configurar un destinatario y, opcionalmente, un analizador sintáctico de mensajes para analizar los eventos recibidos.

Configuración del destinatario

Para recibir eventos enviados por Kaspersky Security Center, debe configurar el destinatario en su sistema SIEM. En general, la configuración siguiente se debe especificar en el sistema SIEM:

Según el sistema SIEM que utilice, debería especificar algunas configuraciones adicionales del destinatario.

La figura siguiente muestra la pantalla de configuración del destinatario en ArcSight.

Ejemplo de configuración del destinatario

Configuración del destinatario en ArcSight

Analizador sintáctico de mensajes

Los eventos exportados se transfieren a los sistemas SIEM como mensajes. Estos mensajes se deben analizar correctamente, de modo que la información sobre los eventos pueda ser utilizada por el sistema SIEM. Los analizadores sintácticos de mensajes son parte del sistema SIEM; se usan para separar los contenido del mensaje en los campos relevantes, por ejemplo ID del evento, gravedad, descripción, parámetros, etcétera. Esto permite al sistema SIEM procesar eventos recibidos de Kaspersky Security Center, de modo que se puedan almacenar en la base de datos del sistema SIEM.

Cada sistema SIEM tiene un conjunto de analizadores de mensajes estándar. Kaspersky también proporciona analizadores de mensajes para algunos sistemas SIEM, por ejemplo, para QRadar y ArcSight. Puede descargar estos analizadores de mensajes de los sitios web de los sistemas SIEM correspondientes. Al configurar el receptor, puede seleccionar utilizar uno de los analizadores de mensajes estándar o un analizador de mensajes de Kaspersky.

Consulte también:

Escenario: Configurar la exportación de eventos a un sistema SIEM

Principio de página