配置在 SIEM 系統中的事件匯出

延伸所有 | 折疊所有

從卡巴斯基安全管理中心匯出事件到外部 SIEM 系統的處理程序設計兩部分：事件傳送者 — 卡巴斯基安全管理中心和事件接收者 — SIEM 系統。您必須在您的 SIEM 系統和卡巴斯基安全管理中心管理主控台中設定事件匯出。

您在 SIEM 系統中指定的設定取決於您使用的系統。通常，對於所有 SIEM 系統，您必須設定接收器和訊息解析器（可選）以解析接收的事件。

設定接收器

為了接收卡巴斯基安全管理中心傳送的事件，您必須在您的 SIEM 系統中設定接收器。通常，必須在 SIEM 系統指定以下設定：

• 匯出協定或輸入類型

  它是訊息傳輸協定，TCP/IP 或 UDP。該協定必須與您在卡巴斯基安全管理中心中指定的協定相同。

• 連接埠

  連線到卡巴斯基安全管理中心的埠號。該連接埠必須與您在卡巴斯基安全管理中心中指定的連接埠相同。

• 訊息協定或來源類型

  用於匯出事件到 SIEM 系統的協定。它可以是標準通訊協定之一：Syslog、CEF 或 LEEF。SIEM 系統依據您指定的協定選取訊息解析器。

依據所使用的 SIEM 系統，您可能需要指定一些附加接收器設定。

下圖顯示 ArcSight 的接收器設定截圖。

ArcSight 的接收器設定

訊息解析器

匯出的事件作為訊息被傳遞到 SIEM 系統。這些訊息必須正確解析，以便事件資訊可以被 SIEM 系統使用。訊息解析器是 SIEM 系統的一部分，它們用於拆分訊息屬性到相關欄位，例如事件 ID、嚴重等級、敘述、參數等等。 這將啟用 SIEM 系統以處理從卡巴斯基安全管理中心接收的事件，以便它們可以被儲存在 SIEM 系統資料庫。

每個 SIEM 系統都有標準訊息解析器集合。Kaspersky 也為一些 SIEM 系統提供訊息解析器，例如 QRadar 和 ArcSight。您可以從對應的 SIEM 系統的網站下載這些訊息解析器。當設定接收者時，您可以選取使用標準訊息解析器或 Kaspersky 訊息解析器。

另請參閱： 情境：設定事件匯出到 SIEM 系統

頁頂