Rozwiń wszystko | Zwiń wszystko
Proces eksportowania zdarzeń z Kaspersky Security Center do zewnętrznych systemów SIEM składa się na dwie części: nadawca zdarzenia—Kaspersky Security Center oraz odbiorca zdarzenia—system SIEM. Należy skonfigurować eksportowanie zdarzeń w posiadanym systemie SIEM i w Kaspersky Security Center.
Ustawienia określane w systemie SIEM zależą od określonego systemu, którego używasz. Zazwyczaj dla wszystkich systemów SIEM należy skonfigurować odbiorcę i, opcjonalnie, analizatora wiadomości do analizowania otrzymanych zdarzeń.
Konfigurowanie odbiorcy
Aby otrzymywać zdarzenia wysyłane przez Kaspersky Security Center, należy skonfigurować odbiorcę w swoim systemie SIEM. W systemie SIEM powinny zostać określone następujące ustawienia:
W zależności od używanego systemu SIEM, konieczne może być określenie niektórych dodatkowych ustawień odbiorcy.
Poniższy rysunek przedstawia okno konfiguracji odbiorcy w ArcSight.
Konfiguracja odbiorcy w ArcSight
Analizator wiadomości
Wyeksportowane zdarzenia są przekazywane do systemu SIEM jako wiadomości. Te wiadomości muszą być odpowiednio przeanalizowane, aby informacje na temat zdarzeń mogły być użyte przez system SIEM. Analizatory wiadomości są częścią systemu SIEM; są używane do podzielenia zawartości wiadomości na odpowiednie pola, takie jak: ID zdarzenia, priorytet, opis, parametry itd. Umożliwia to systemowi SIEM przetworzenie zdarzeń otrzymanych z Kaspersky Security Center tak, aby mogły być przechowywane w bazie danych systemu SIEM.
Każdy system SIEM posiada zestaw standardowych analizatorów wiadomości. Kaspersky także dostarcza analizatory wiadomości dla niektórych systemów SIEM, na przykład dla QRadar i ArcSight. Te analizatory wiadomości można pobrać ze stron internetowych odpowiednich systemów SIEM. Podczas konfigurowania odbiorcy możesz wybrać używanie jednego ze standardowych analizatorów wiadomości lub analizatora wiadomości od Kaspersky.