Você pode usar a exportação de evento dentro de sistemas centralizados que tratam de questões de segurança em nível organizacional e técnico, que fornecem serviços de monitoramento da segurança e consolidam informações de diferentes soluções. Estes são sistemas SIEM, que fornecem a análise em tempo real de alertas de segurança e eventos gerados por hardware de rede e aplicativos ou Centros de Operação de Segurança (SOCs).
Estes sistemas recebem dados de muitas fontes, incluindo redes, segurança, servidores, bancos de dados e aplicativos. Os sistemas de SIEM também fornecem a funcionalidade para consolidar os dados monitorados para ajudá-lo a evitar faltar a eventos críticos. Além disso, os sistemas executam a análise automatizada de eventos correlacionados e alertas para notificar os administradores de problemas de segurança imediatos. Um alerta pode ser implementado através de um painel ou pode ser enviado por canais de terceiros, tal como por um e-mail.
O processo de exportar eventos do Kaspersky Security Center para sistemas SIEM externos envolve duas partes: um remetente de evento (Kaspersky Security Center) e um receptor do evento (sistema SIEM). Para exportar com sucesso eventos, você deve configurar isso no seu sistema SIEM e no Console de Administração do Kaspersky Security Center. Não importa que lado você configura primeiro. Você pode configurar a transmissão de eventos no Kaspersky Security Center e depois configurar o recebimento de eventos pelo sistema SIEM, ou vice-versa.
Métodos para enviar eventos do Kaspersky Security Center
Há três métodos para enviar eventos do Kaspersky Security Center aos sistemas externos:
Usando o protocolo Syslog, você pode encaminhar qualquer evento que ocorre no Servidor de Administração do Kaspersky Security Center e em aplicativos Kaspersky que são instalados em dispositivos gerenciados. O protocolo Syslog é um protocolo de registro de mensagem padrão. É possível usá-lo para exportar os eventos para qualquer sistema SIEM.
Para isso, é preciso marcar os eventos que deseja retransmitir ao sistema SIEM. É possível marcar os eventos no console de administração ou no Kaspersky Security Center 13.2 Web Console. Apenas os eventos marcados serão retransmitidos para o sistema SIEM. Caso não tenha marcado nada, nenhum evento será retransmitido.
Você pode usar os protocolos CEF e LEEF para exportar eventos gerais. Ao exportar eventos sobre os protocolos CEF e LEEF, você não tem a capacidade de selecionar eventos específicos para exportar. Em vez disso, todos os eventos gerais são exportados. Diferentemente do protocolo Syslog, os protocolos CEF e LEEF não são universais. CEF e LEEF são destinados para os sistemas SIEM apropriados (QRadar, Splunk e ArcSight). Portanto, quando você escolhe exportar eventos através de um desses protocolos, você usa o analisador necessário no sistema SIEM.
Para exportar eventos através dos protocolos CEF e LEEF, o recurso Integração com dos sistemas SIEM deve ser ativado no Servidor de Administração usando uma chave de licença ativa ou um código de ativação válido.
Este método de exportar eventos pode ser usado para receber eventos diretamente das vistas públicas do banco de dados por meio de consultas SQL. Os resultados de uma consulta são salvos em um arquivo XML que pode ser usado como dados de entrada para um sistema externo. Somente os eventos disponíveis nas vistas públicas podem ser exportados diretamente do banco de dados.
Recebimento de eventos pelo sistema SIEM
O sistema SIEM deve receber e corretamente analisar os eventos recebidos do Kaspersky Security Center. Para estes propósitos, você deve configurar apropriadamente o sistema SIEM. A configuração depende do sistema SIEM específico utilizado. No entanto, há um número de etapas gerais na configuração de todos os sistemas SIEM, tal como a configuração do receptor e do analisador.