Eksportowanie zdarzeń może być używane w obrębie scentralizowanych systemów, które zajmują się problemami z bezpieczeństwem na poziomie organizacyjnym i technicznym, zapewniają usługi monitorowania ochrony oraz skonsolidowane informacje z różnych rozwiązań. To są systemy SIEM, które oferują przeprowadzania w czasie rzeczywistym analizy ostrzeżeń i zdarzeń zabezpieczeń, wygenerowanych przez aplikacje i sprzęt w sieci, lub Security Operation Centers (SOCs).
Te systemy otrzymują dane z wielu źródeł, w tym sieci, ochrony, serwerów, baz danych i aplikacji. Systemy SIEM oferują także funkcjonalność konsolidowania monitorowanych danych, aby pomóc w uniknięciu przeoczenia zdarzeń krytycznych. Dodatkowo, systemy przeprowadzają zautomatyzowaną analizę powiązanych zdarzeń i ostrzeżeń w celu powiadomienia administratorów o nagłych problemach z bezpieczeństwem. Wysyłanie ostrzeżeń może zostać zaimplementowane poprzez pulpit nawigacyjny lub wysyłanie ostrzeżeń może się odbywać poprzez kanały firm trzecich, na przykład pocztę elektroniczną.
Proces eksportowania zdarzeń z Kaspersky Security Center do zewnętrznych systemów SIEM składa się na dwie części: nadawca zdarzenia – Kaspersky Security Center oraz odbiorca zdarzenia – system SIEM. Aby pomyślnie eksportować zdarzenia, należy skonfigurować tę funkcję w posiadanym systemie SIEM i w Konsoli administracyjnej Kaspersky Security Center. Nie ma znaczenia, która strona zostanie skonfigurowana jako pierwsza. Możesz skonfigurować przesyłanie zdarzeń w Kaspersky Security Center, a następnie skonfigurować odbieranie zdarzeń przez system SIEM lub na odwrót.
Metody wysyłania zdarzeń z Kaspersky Security Center
Dostępne są trzy metody wysyłania zdarzeń z Kaspersky Security Center do systemów zewnętrznych:
Korzystając z protokołu Syslog, możesz przekazywać dowolne zdarzenia, które wystąpiły na Serwerze administracyjnym Kaspersky Security Center i w aplikacjach firmy Kaspersky zainstalowanych na zarządzanych urządzeniach. Protokół Syslog jest standardowym protokołem rejestrowania wiadomości. Możesz go użyć do eksportowania zdarzeń do systemu SIEM.
W tym celu należy zaznaczyć zdarzenia, które chcemy przekazać do systemu SIEM. Możesz zaznaczyć zdarzenia w Konsoli administracyjnej lub konsoli Kaspersky Security Center 13.2 Web Console. Tylko zaznaczone zdarzenia będą przekazywane do systemu SIEM. Jeśli nic nie zaznaczysz, żadne zdarzenia nie zostaną przekazane.
Możesz używać protokołów CEF i LEEF do eksportowania zdarzeń ogólnych. Podczas eksportowania zdarzeń po protokołach CEF i LEEF nie masz możliwości wyboru określonych zdarzeń do wyeksportowania. Eksportowane są wszystkie zdarzenia ogólne. W przeciwieństwie do protokołu Syslog, protokoły CEF i LEEF nie są uniwersalne. Protokoły CEF i LEEF są przeznaczone dla odpowiednich systemów SIEM (QRadar, Splunk i ArcSight). Dlatego też, jeśli wybierzesz eksportowanie zdarzeń poprzez jeden z tych protokołów, użyjesz parsera w systemie SIEM.
Aby wyeksportować zdarzenia poprzez protokoły CEF i LEEF, funkcja integracji z systemami SIEM musi być aktywowana w Serwerze administracyjnym przy użyciu aktywnego klucza licencyjnego lub ważnego kodu aktywacyjnego.
Ta metoda eksportowania zdarzeń może zostać użyta do odbierania zdarzeń bezpośrednio z widoków publicznych bazy danych przy użyciu zapytań SQL. Wyniki zapytań są zapisywane do pliku XML, który może zostać użyty jako dane wejściowe systemu zewnętrznego. Tylko zdarzenia dostępne w widokach publicznych mogą być eksportowane bezpośrednio z bazy danych.
Odbieranie zdarzeń przez system SIEM
System SIEM musi odbierać i poprawnie analizować zdarzenia otrzymywane z Kaspersky Security Center. W tym celu należy odpowiednio skonfigurować system SIEM. Konfiguracja zależy od specyfiki używanego systemu SIEM. Jednakże istnieje kilka ogólnych kroków w konfiguracji wszystkich systemów SIEM, takie jak konfigurowanie odbiorcy i analizatora.