從卡巴斯基安全管理中心匯出事件到外部 SIEM 系統的處理程序設計兩部分:事件傳送者 — 卡巴斯基安全管理中心和事件接收者 — SIEM 系統。您必須在您的 SIEM 系統和卡巴斯基安全管理中心管理主控台中設定事件匯出。
您在 SIEM 系統中指定的設定取決於您使用的系統。通常,對於所有 SIEM 系統,您必須設定接收器和訊息解析器(可選)以解析接收的事件。
設定接收器
為了接收卡巴斯基安全管理中心傳送的事件,您必須在您的 SIEM 系統中設定接收器。通常,必須在 SIEM 系統指定以下設定:
依據所使用的 SIEM 系統,您可能需要指定一些附加接收器設定。
下圖顯示 ArcSight 的接收器設定截圖。
ArcSight 的接收器設定
訊息解析器
匯出的事件作為訊息被傳遞到 SIEM 系統。這些訊息必須正確解析,以便事件資訊可以被 SIEM 系統使用。訊息解析器是 SIEM 系統的一部分,它們用於拆分訊息屬性到相關欄位,例如事件 ID、嚴重等級、敘述、參數等等。 這將啟用 SIEM 系統以處理從卡巴斯基安全管理中心接收的事件,以便它們可以被儲存在 SIEM 系統資料庫。
每個 SIEM 系統都有標準訊息解析器集合。Kaspersky 也為一些 SIEM 系統提供訊息解析器,例如 QRadar 和 ArcSight。您可以從對應的 SIEM 系統的網站下載這些訊息解析器。當設定接收者時,您可以選取使用標準訊息解析器或 Kaspersky 訊息解析器。