Puede utilizar la exportación de eventos en sistemas centralizados que tratan con problemas de seguridad a un nivel organizativo y técnico, proporcionan servicios de supervisión de la seguridad y unifican la información de soluciones diferentes. Estos son sistemas de SIEM, que proporcionan análisis en tiempo real de alertas de seguridad y eventos generados por el hardware de la red y las aplicaciones o Centros operativos de seguridad (SOCs).
Estos sistemas reciben datos desde muchas fuentes, redes incluidas, seguridad, servidores, bases de datos y aplicaciones. Los sistemas SIEM también proporcionan funcionalidad para consolidar datos supervisados a fin de ayudarle a evitar omitir eventos críticos. Además, los sistemas realizan análisis automatizados de eventos correlacionados y alertas a fin de notificar a los administradores sobre problemas de seguridad inmediatos. La generación de alertas se puede implementar a través de un panel o se puede enviar a través de canales de terceros, como el correo electrónico.
El proceso de exportar eventos desde Kaspersky Security Center a sistemas SIEM externos involucra a dos partes: un remitente del evento, Kaspersky Security Center, y un destinatario del evento, un sistema SIEM. Para exportar eventos correctamente, debe configurar estos parámetros en su sistema de SIEM y en la Consola de administración de Kaspersky Security Center. No importa qué componente configura primero. Puede configurar la transmisión de eventos desde Kaspersky Security Center y, a continuación, configurar la recepción de eventos por parte del sistema SIEM o viceversa.
Métodos para enviar eventos desde Kaspersky Security Center
Hay tres métodos para enviar eventos desde Kaspersky Security Center a sistemas externos:
Usando el protocolo de Syslog, puede transmitir cualquier evento que ocurra en el Servidor de administración de Kaspersky Security Center y las aplicaciones de Kaspersky instaladas en dispositivos administrados. El protocolo Syslog es un protocolo de registros de mensajes estándar. Puede utilizarlo para exportar eventos a cualquier sistema SIEM.
Para ello, debe marcar los eventos que desea transmitir al sistema SIEM. Puede marcar los eventos en la Consola de administración o en Kaspersky Security Center 13.2 Web Console. Solo los eventos marcados se transmitirán al sistema SIEM. Si no marcó nada, no se retransmitirá ningún evento.
Puede utilizar los protocolos CEF y LEEF para exportar eventos generales. Al exportar eventos en protocolos CEF y LEEF, no tiene la capacidad de seleccionar eventos específicos que exportar. En cambio, todos los eventos generales se exportan. A diferencia del protocolo Syslog, los protocolos CEF y LEEF no son universales. CEF y LEEF están diseñados para los sistemas SIEM apropiados (QRadar, Splunk y ArcSight). Por lo tanto, cuando elige exportar eventos sobre uno de estos protocolos, usa el analizador requerido en el sistema SIEM.
Para exportar eventos a través de los protocolos CEF y LEEF, la función Integración con los sistemas SIEM debe activarse en el Servidor de administración utilizando una clave de licencia activa o un código de activación válido.
Este método de exportar eventos puede utilizarse para recibir eventos directamente de vistas públicas de la base de datos mediante consultas de SQL. Los resultados de una consulta se guardan a un archivo XML que se puede utilizar como datos de entrada para un sistema externo. Solo los eventos disponibles en vistas públicas se pueden exportar directamente desde la base de datos.
Recepción de eventos por el sistema SIEM
El sistema SIEM debe recibir y analizar correctamente los eventos recibidos desde Kaspersky Security Center. Con estos objetivos, debe configurar correctamente el sistema SIEM. La configuración depende del sistema SIEM específico utilizado. No obstante, hay varios pasos generales en la configuración de todos los sistemas SIEM, por ejemplo, configurando el receptor y el analizador.