关于配置 SIEM 系统中的事件导出

扩展所有 | 折叠所有

从 Kaspersky Security Center 导出事件到外部 SIEM 系统的进程设计两部分：事件发送者 — Kaspersky Security Center 和事件接收者 — SIEM 系统。必须在 SIEM 系统和 Kaspersky Security Center 中配置事件导出。

您在 SIEM 系统中指定的设置取决于您使用的系统。通常，对于所有 SIEM 系统，您必须设置接收器和消息解析器（可选）以解析接收的事件。

设置接收器

为了接收 Kaspersky Security Center 发送的事件，您必须在您的 SIEM 系统中设置接收器。通常，必须在 SIEM 系统指定以下设置：

• 导出协议或输入类型

  它是消息传输协议，TCP/IP 或 UDP。该协议必须与您在 Kaspersky Security Center 中指定的协议相同。

• 端口

  连接到 Kaspersky Security Center 的端口号。该端口必须与您在 Kaspersky Security Center 中指定的端口相同。

• 消息协议或源类型

  用于导出事件到 SIEM 系统的协议。它可以是标准协议之一：Syslog、CEF 或 LEEF。SIEM 系统根据您指定的协议选择消息解析器。

根据所使用的 SIEM 系统，您可能需要指定一些附加接收器设置。

下图显示了 ArcSight 的接收器设置截图。

ArcSight 的接收器设置

消息解析器

导出的事件作为消息被传递到 SIEM 系统。这些消息必须正确解析，以便事件信息可以被 SIEM 系统使用。消息解析器是 SIEM 系统的一部分，它们用于拆分消息内容到相关字段，例如事件 ID、严重级别、描述、参数等等。 这将启用 SIEM 系统以处理从 Kaspersky Security Center 接收的事件，以便它们可以被存储在 SIEM 系统数据库。

每个 SIEM 系统都有标准消息解析器集合。Kaspersky 也为一些 SIEM 系统提供消息解析器，例如 QRadar 和 ArcSight。您可以从对应的 SIEM 系统的网站下载这些消息解析器。当配置接收者时，您可以选择使用标准消息解析器或 Kaspersky 消息解析器。

另请参阅： 方案：配置导出事件到 SIEM 系统

页顶