Acerca de la configuración de la exportación de eventos en un sistema SIEM

El proceso de exportación de eventos desde Kaspersky Security Center a sistemas SIEM externos involucra a dos partes: un remitente de eventos (Kaspersky Security Center) y un destinatario para los eventos (el sistema SIEM). Debe configurar la exportación de eventos en su sistema SIEM y en Kaspersky Security Center.

Los ajustes que especifique en el sistema SIEM dependerán del sistema particular que esté utilizando. En general, para todo sistema SIEM, deberá configurar un receptor y, opcionalmente, un analizador que procese los eventos recibidos.

Configuración del receptor

Para recibir eventos enviados por Kaspersky Security Center, debe configurar el destinatario en su sistema SIEM. Por lo general, deberá especificar los valores de los siguientes parámetros dentro del sistema SIEM:

Protocolo de exportación o tipo de entrada
Es el protocolo de transferencia de mensajes, TCP/IP o UDP. Este protocolo debe ser igual que el protocolo que especificó en Kaspersky Security Center.
Puerto
Número de puerto utilizado para conectarse a Kaspersky Security Center. Este puerto debe ser igual que el puerto que especificó en Kaspersky Security Center.
Protocolo de mensajes o tipo de origen
El protocolo usado para exportar eventos al sistema SIEM. Puede ser uno de los protocolos estándares: Syslog, CEF o LEEF. El sistema SIEM selecciona el analizador sintáctico del mensaje según el protocolo que especifica.

Según el sistema SIEM que utilice, debería especificar algunas configuraciones adicionales del destinatario.

La figura siguiente muestra la pantalla de configuración del destinatario en ArcSight.

En ArcSight, la pantalla de configuración del destinatario se encuentra en la pestaña “Configuration” (Configuración). La configuración del destinatario se define de la siguiente manera: el nombre del receptor es “tcp cef”, la propiedad IP/Host es “All” (Todo), el puerto (Port) es 616, la codificación (Encoding) es UTF-8 y el tipo de origen (Source Type) es CEF.

Configuración del destinatario en ArcSight

Analizador sintáctico de mensajes

Los eventos exportados se transfieren al sistema SIEM en forma de mensajes. Estos mensajes deben analizarse; de lo contrario, el sistema SIEM no puede hacer uso de la información de los eventos. Los analizadores sintácticos de mensajes son parte del sistema SIEM; se usan para separar los contenido del mensaje en los campos relevantes, por ejemplo ID del evento, gravedad, descripción, parámetros, etcétera. Esto permite al sistema SIEM procesar eventos recibidos de Kaspersky Security Center, de modo que se puedan almacenar en la base de datos del sistema SIEM.

Cada sistema SIEM tiene un conjunto de analizadores de mensajes estándar. Kaspersky también proporciona analizadores de mensajes para algunos sistemas SIEM, por ejemplo, para QRadar y ArcSight. Puede descargar estos analizadores de mensajes de los sitios web de los sistemas SIEM correspondientes. Al configurar el receptor, puede seleccionar utilizar uno de los analizadores de mensajes estándar o un analizador de mensajes de Kaspersky.

Consulte también:

Escenario: Configurar la exportación de eventos a un sistema SIEM

Principio de página