Informacje o konfigurowaniu eksportowania zdarzeń w systemie SIEM

Rozwiń wszystko | Zwiń wszystko

Proces eksportowania zdarzeń z Kaspersky Security Center do zewnętrznych systemów SIEM składa się na dwie części: nadawca zdarzenia—Kaspersky Security Center oraz odbiorca zdarzenia—system SIEM. Należy skonfigurować eksportowanie zdarzeń w posiadanym systemie SIEM i w Kaspersky Security Center.

Ustawienia określane w systemie SIEM zależą od określonego systemu, którego używasz. Zazwyczaj dla wszystkich systemów SIEM należy skonfigurować odbiorcę i, opcjonalnie, analizatora wiadomości do analizowania otrzymanych zdarzeń.

Konfigurowanie odbiorcy

Aby otrzymywać zdarzenia wysyłane przez Kaspersky Security Center, należy skonfigurować odbiorcę w swoim systemie SIEM. W systemie SIEM powinny zostać określone następujące ustawienia:

W zależności od używanego systemu SIEM, konieczne może być określenie niektórych dodatkowych ustawień odbiorcy.

Poniższy rysunek przedstawia okno konfiguracji odbiorcy w ArcSight.

W ArcSight ekran konfiguracji odbiornika znajduje się na karcie Konfiguracja. Ustawienia odbiornika są określone w następujący sposób: nazwa odbiornika to tcp cef, właściwość IP/Host to All, port to 616, kodowanie to UTF-8, typ źródła to CEF.

Konfiguracja odbiorcy w ArcSight

Analizator wiadomości

Wyeksportowane zdarzenia są przekazywane do systemu SIEM jako wiadomości. Te wiadomości muszą być odpowiednio przeanalizowane, aby informacje na temat zdarzeń mogły być użyte przez system SIEM. Analizatory wiadomości są częścią systemu SIEM; są używane do podzielenia zawartości wiadomości na odpowiednie pola, takie jak: ID zdarzenia, priorytet, opis, parametry itd. Umożliwia to systemowi SIEM przetworzenie zdarzeń otrzymanych z Kaspersky Security Center tak, aby mogły być przechowywane w bazie danych systemu SIEM.

Każdy system SIEM posiada zestaw standardowych analizatorów wiadomości. Kaspersky także dostarcza analizatory wiadomości dla niektórych systemów SIEM, na przykład dla QRadar i ArcSight. Te analizatory wiadomości można pobrać ze stron internetowych odpowiednich systemów SIEM. Podczas konfigurowania odbiorcy możesz wybrać używanie jednego ze standardowych analizatorów wiadomości lub analizatora wiadomości od Kaspersky.

Zobacz również:

Scenariusz: Konfigurowanie eksportowania zdarzeń do systemów SIEM

Przejdź do góry