Kaspersky Security Center から外部 SIEM システムにイベントをエクスポートするプロセスには、イベントの送信元である Kaspersky Security Center とイベントのレシーバである SIEM システムの 2 つが関係します。イベントのエクスポートは、SIEM システムと Kaspersky Security Center 管理コンソールの両方で設定する必要があります。
SIEM システムで指定する設定は、使用している個々のシステムにより異なります。一般に、すべての SIEM システムでレシーバを設定する必要があり、受信イベントを解析するためのメッセージパーサーを任意で設定します。
レシーバの設定
Kaspersky Security Center から送信されたイベントを受信するには、SIEM システムでレシーバを設定する必要があります。一般に、SIEM システムで次の設定を指定する必要があります:
使用する SIEM システムによっては、受信者の設定を一部追加で指定する必要があります。
次の図は、ArcSight の受信者のセットアップ画面を示します。
ArcSight でのレシーバのセットアップ
メッセージパーサー
エクスポートされたイベントはメッセージとして SIEM システムに渡されます。SIEM システムでイベントに関する情報が利用できるように、これらのメッセージを適切に解析する必要があります。メッセージパーサーは SIEM システムの一部です。イベントの ID、重大度、説明、パラメータなど関連フィールドにメッセージの内容を分けるために使用します。メッセージの内容を分けることで、SIEM システムは Kaspersky Security Center から受信したイベントを処理して、SIEM システムデータベースに保管することができます。
各 SIEM システムには、一連の標準メッセージパーサーがあります。カスペルスキーでは、QRadar や ArcSight など、一部の SIEM システム向けのメッセージパーサーも提供しています。これらのメッセージパーサーは、対応する SIEM システムの Web サイトからダウンロードできます。レシーバを設定する時に、標準メッセージパーサーまたはカスペルスキーが提供するメッセージパーサーのいずれかを選択できます。