Sie können den Ereignisexport innerhalb zentralisierten Systemen verwenden, die sich mit Fragen der Sicherheit auf organisatorischer und technischer Ebene und der Überwachung des Sicherheitssystems beschäftigen sowie Daten aus verschiedenen Lösungen konsolidieren. Dazu gehören SIEM-Systeme, die eine Analyse der Warnungen der Sicherheitssysteme und Ereignisse der Netzwerkhardware und Apps im Echtzeitbetrieb gewährleisten, sowie Security Operation Center (SOC).
Diese Systeme erhalten Daten aus vielen Quellen, einschließlich Netzwerke, Sicherheitssysteme, Server, Datenbanken und Apps. Ferner gewährleisten SIEM-Systeme eine Zusammenfassung der bearbeiteten Daten, damit Sie keine kritischen Ereignisse überspringen können. Außerdem führen diese Systeme eine automatische Analyse der verbundenen Ereignisse und der Alarme zur Benachrichtigung der Administratoren über Fragen des Sicherheitssystems, die eine sofortige Entscheidung fordern, durch. Die Benachrichtigungen können im Indikatorbereich angezeigt oder über dritte Kanäle, beispielsweise E-Mail, versendet werden.
Am Ablauf des Ereignisexports aus Kaspersky Security Center in die externen SIEM-Systeme sind zwei Seiten beteiligt: der Absender der Ereignisse – Kaspersky Security Center – und der Empfänger der Ereignisse – ein SIEM-System. Für einen erfolgreichen Ereignisexport müssen die Einstellungen sowohl im verwendeten SIEM-System als auch in der Kaspersky Security Center Verwaltungskonsole angepasst werden. Die Reihenfolge der Einstellungen hat keine Bedeutung: Sie können zuerst den Versand der Ereignisse in Kaspersky Security Center und dann das Empfangen der Ereignisse im SIEM-System anpassen oder umgekehrt.
Methoden für den Versand von Ereignissen aus Kaspersky Security Center
Es gibt drei Methoden für den Versand von Ereignisse aus Kaspersky Security Center in die externen Systeme:
Gemäß dem Protokoll Syslog können beliebige Ereignisse, die auf dem Kaspersky Security Center Administrationsserver und in den auf den verwalteten Geräten installierten Programmen von Kaspersky auftreten, übertragen werden. Das Syslog-Protokoll ist ein Standardnachrichtenprotokollierungsprotokoll. Sie können es für den Export von Ereignissen ein beliebiges SIEM-System verwenden.
Zu diesem Zweck müssen Sie die Ereignisse markieren, die Sie an das SIEM-System weiterleiten möchten. Die Ereignisse können Sie in der Verwaltungskonsole oder in der Kaspersky Security Center 13.2 Web Console markieren. Es werden nur markierte Ereignisse an das SIEM-System weitergeleitet. Wenn Sie nichts markiert haben, werden keine Ereignisse weitergeleitet.
Sie können die Protokolle CEF und LEEF verwenden, um allgemeine Ereignisse zu exportieren. Die Protokolle CEF und LEEF sind im Gegensatz zum Protokoll Syslog nicht universell. Stattdessen werden alle allgemeinen Ereignisse exportiert. Anders als das Syslog-Protokoll sind das CEF- und das LEEF-Protokoll nicht universell. CEF und LEEF sind für die entsprechenden SIEM-Systeme (QRadar, Splunk und ArcSight) vorgesehen. Wenn Sie daher Ereignisse über eines dieser Protokolle exportieren, verwenden Sie den erforderlichen Parser im SIEM-System.
Um die Ereignisse per CEF- oder LEEF-Protokoll exportieren zu können, müssen Sie auf dem Administrationsserver die Integration mit SIEM-Systemen mithilfe eines aktiven Lizenzschlüssels oder eines gültigen Aktivierungscodes aktivieren.
Diese Methode für den Ereignisexport kann für das Empfangen von Ereignissen direkt aus den öffentlichen Ansichten der Datenbank mithilfe von SQL-Abfragen verwendet werden. Die Ausführungsergebnisse der Anfrage werden in einer xml-Datei gespeichert und können als Eingangsdaten für das externe System verwendet werden. Nur Ereignisse, die in öffentlichen Ansichten verfügbar sind, können direkt aus der Datenbank exportiert werden.
Empfangen von Ereignissen im SIEM-System
Das SIEM-System muss die von Kaspersky Security Center übertragenen Ereignisse korrekt übernehmen und analysieren. Dazu müssen die Einstellungen des SIEM-Systems angepasst werden. Die Konfiguration hängt vom verwendeten speziellen SIEM-System ab. Es gibt jedoch eine Anzahl von allgemeinen Schritten in der Konfiguration aller SIEM-Systeme, etwa die Konfiguration des Empfängers und des Parsers.