La exportación de eventos puede utilizarse en sistemas centralizados que permiten atender a los problemas de seguridad en un nivel organizativo y técnico. Estos sistemas, denominados sistemas SIEM, brindan servicios para hacer un monitoreo de la seguridad y son capaces de integrar la información de distintas soluciones. Pueden analizar, en tiempo real, los eventos y las alertas de seguridad que generan las aplicaciones, el hardware de red y los centros de operaciones de seguridad (SOC, por sus siglas en inglés).
Los sistemas SIEM reciben información de muchas fuentes, como redes, soluciones de seguridad, servidores, aplicaciones y bases de datos. Pueden integrar los datos que obtienen para reducir las probabilidades de que un evento crítico pase desapercibido. También pueden realizar análisis automatizados de alertas y eventos correlacionados para notificar a los administradores de cualquier problema de seguridad inmediato. Las alertas de estos sistemas se pueden comunicar a través de un panel o tablero, o se pueden enviar por correo electrónico u otra vía provista por un tercero.
El proceso de exportación de eventos desde Kaspersky Security Center a sistemas SIEM externos involucra a dos partes: un remitente de eventos (Kaspersky Security Center) y un destinatario para los eventos (el sistema SIEM). Para exportar eventos con éxito, debe configurar esto en su sistema SIEM y en la Consola de administración de Kaspersky Security Center. No importa cuál de los dos lados se configura primero. Puede configurar la transmisión de eventos en Kaspersky Security Center y luego configurar la recepción de estos por el sistema SIEM, o viceversa.
Métodos para enviar eventos desde Kaspersky Security Center
Hay tres métodos para enviar eventos desde Kaspersky Security Center a los sistemas externos:
Usando el protocolo de Syslog, puede transmitir cualquier evento que ocurra en el Servidor de administración de Kaspersky Security Center y en Aplicaciones de Kaspersky instaladas en dispositivos administrados. El protocolo de Syslog es un protocolo de registro de mensajes estándares. Puede utilizarlo para exportar eventos a cualquier sistema SIEM.
Para ello, debe marcar los eventos que desea transmitir al sistema SIEM. Puede marcar los eventos en la Consola de administración o en Kaspersky Security Center 13.2 Web Console. Solo los eventos marcados se transmitirán al sistema SIEM. Si no marcó nada, no se transmitirá ningún evento.
Puede utilizar los protocolos CEF y LEEF para exportar eventos generales. Al exportar eventos a través de los protocolos CEF y LEEF, no tiene la posibilidad de seleccionar eventos específicos para exportarlos. En su lugar, se exportan todos los eventos generales. A diferencia del protocolo Syslog, los protocolos CEF y LEEF no son universales. CEF y LEEF están diseñados para los sistemas SIEM apropiados (QRadar, Splunk y ArcSight). Por lo tanto, cuando elige exportar eventos sobre uno de estos protocolos, usa el analizador requerido en el sistema SIEM.
Para exportar eventos a través de los protocolos CEF y LEEF, la función Integración con los sistemas SIEM debe activarse en el Servidor de administración utilizando una clave de licencia activa o un código de activación válido.
Este método de exportar eventos puede utilizarse para recibir eventos directamente de vistas públicas de la base de datos mediante consultas de SQL. Los resultados de una pregunta se guardan en un archivo de XML que se puede utilizar como datos de entrada para un sistema externo. Solo los eventos disponibles en vistas públicas se pueden exportar directamente desde la base de datos.
Recepción de eventos por parte del sistema SIEM
El sistema SIEM debe recibir y correctamente analizar eventos recibidos de Kaspersky Security Center. Para que esto ocurra, el sistema SIEM debe estar correctamente configurado. El proceso de configuración depende del sistema SIEM que se utilice. Sin embargo, existen algunos pasos de configuración generales (como la configuración del receptor y el analizador) que son comunes a todos.