配置 Kaspersky Security Center 以导出事件到 SIEM 系统

扩展所有 | 折叠所有

您可以在 Kaspersky Security Center 中启用自动事件导出。

常规事件可以通过 CEF 和 LEEF 格式从受管理应用程序导出。  应用程序特定事件不能通过 CEF 和 LEEF 格式从受管理应用程序导出。如果您需要导出受管理应用程序的事件或者使用受管理应用程序策略配置的自定义事件集合,则必须以 Syslog 格式导出事件。

要启用自动事件导出:

  1. 在 Kaspersky Security Center 控制台树,选择您要导出事件的管理服务器。
  2. 在所选管理服务器的工作区中,选择“事件”选项卡。
  3. 单击“配置通知和事件导出”链接旁边的下拉箭头,然后在下拉列表中选择“配置导出到 SIEM 系统”。

    此时将打开事件属性窗口,显示“事件导出”区域。

  4. 在“事件导出”区域,指定以下导出设置:

    在“事件导出”区域,选中“自动导出事件至 SIEM 系统数据库”复选框,SIEM 系统属性设置为 ArcSight(CEF 格式),指定 SIEM 系统服务器地址和端口,协议属性设置为 TCP/IP。

    事件属性窗口的事件导出区域

    • 自动导出事件至 SIEM 系统数据库
    • SIEM 系统
    • SIEM 系统服务器地址
    • SIEM 系统服务器端口
    • 协议

    如果选择 Syslog 格式,则必须指定:

    • 最大消息大小,字节
  5. 如果要将过去指定日期之后发生的事件导出到 SIEM 系统数据库,请单击“导出存档”按钮并指定事件导出的开始日期。默认下,事件导出在您启用后立即开始。
  6. 单击“确定”。

自动导出事件被启用。

在启用自动导出事件后,您必须选择将被导出到 SIEM 系统的事件。

另请参阅:

方案:配置导出事件到 SIEM 系统

标记要以 Syslog 格式导出到 SIEM 系统的事件

页顶