Die CEF- und LEEF-Formate können verwendet werden, um allgemeine Ereignisse und Ereignisse, die von Kaspersky-Programmen an den Administrationsserver übertragen werden, in SIEM-Systeme zu exportieren. Der Satz der zu exportierenden Ereignisse ist vordefiniert, es gibt keine Möglichkeit, die zu exportierenden Ereignisse auszuwählen.
Um die Ereignisse per CEF- oder LEEF-Protokoll exportieren zu können, müssen Sie auf dem Administrationsserver die Integration mit SIEM-Systemen mithilfe eines aktiven Lizenzschlüssels oder eines gültigen Aktivierungscodes aktivieren.
Das Exportformat kann abhängig vom verwendeten SIEM-System ausgewählt werden. In der folgenden Tabelle sind die SIEM-Systeme und die ihnen entsprechenden Exportformate angeführt.
Formate für den Ereignisexport in ein SIEM-System
|
SIEM-System |
Exportformat |
|---|---|
|
QRadar |
LEEF |
|
ArcSight |
CEF |
|
Splunk |
CEF |
Automatischer Export bedeutet, dass Kaspersky Security Center die allgemeinen Ereignisse ins SIEM-System sendet. Der automatische Export der Ereignisse beginnt sofort nach der Aktivierung. In diesem Abschnitt ist der Ablauf zur Aktivierung des automatischen Exports von Ereignissen beschrieben.