Konfiguration von Kaspersky Security Center für den Export an ein SIEM-System

Alle erweitern | Alles ausblenden

Sie können in Kaspersky Security Center den automatischen Ereignisexport aktivieren.

Mit den Formaten CEF und LEEF können nur allgemeine Ereignisse aus verwalteten Programmen exportiert werden.  Programmspezifische Ereignisse können mit den Formaten CEF und LEEF nicht aus verwalteten Programmen exportiert werden. Wenn es erforderlich ist, die Ereignisse der verwalteten Programme oder einen benutzerdefinierten Satz von Ereignissen, der mit der Hilfe der Richtlinien der verwalteten Programme angepasst wurde, zu exportieren, müssen Sie die Ereignisse im Syslog-Format exportieren.

So aktivieren Sie den automatischen Export von Ereignissen:

1. Wählen Sie im Konsolenbaum von Kaspersky Security Center den Knoten mit dem Namen des Administrationsservers aus, dessen Ereignisse exportiert werden sollen.
2. Wählen Sie im Arbeitsbereich des ausgewählten Administrationsservers die Registerkarte Ereignisse aus.
3. Klicken Sie auf den Dropdown-Pfeil neben dem Link Benachrichtigungseinstellungen und Ereignis-Export anpassen und wählen in der Dropdown-Liste den Punkt Export ins SIEM-System anpassen aus.

   Das Eigenschaftenfenster für Ereignisse wird im Abschnitt Ereignisexport geöffnet.

4. Konfigurieren Sie im Abschnitt Ereignisexport die folgenden Export-Einstellungen:

   

   Abschnitt Ereignisexport des Eigenschaftenfensters für Ereignisse

   • Ereignisse automatisch in die Datenbank des SIEM-Systems exportieren

     Aktivieren Sie dieses Kontrollkästchen, um den automatischen Ereignisexport ins SIEM-System zu aktivieren. Nach der Aktivierung dieses Kontrollkästchens können alle Felder im Abschnitt Ereignisexport bearbeitet werden.

   • SIEM-System

     Wählen Sie das SIEM-System aus, um folgende Ereignisse zu exportieren: QRadar® (LEEF-Format), ArcSight (CEF-Format), Splunk® (CEF-Format) und Syslog-Format (RFC 5424).

   • Serveradresse des SIEM-Systems

     Geben Sie die Serveradresse des SIEM-Systems an. Die Serveradresse kann im Format DNS- oder NetBIOS‑Name oder als IP-Adresse angegeben werden.

   • Serverport des SIEM-Systems

     Geben Sie den Port für die Verbindung mit dem Server des SIEM-Systems an. Dieser Port muss mit dem Port übereinstimmen, den Sie in den Einstellungen des Empfängers des SIEM-Systems für das Empfangen von Ereignissen (s. Abschnitt "Einstellungen des SIEM-Systems") angegeben haben.

   • Protokoll

     Wählen Sie das Übertragungsprotokoll für Nachrichten ins SIEM-System aus. Sie können entweder das TCP/IP- oder das UDP-Protokoll auswählen. TCP/IP ist sicherer, da es Bestätigungen für den Empfang einer Nachricht unterstützt. UDP ist ein einfacheres Protokoll und eignet sich für Situationen, in denen die Überprüfung und Korrektur von Fehlern entweder nicht erforderlich ist oder innerhalb des Programms ausgeführt wird.

   Wenn Sie als Format "Syslog" auswählen, müssen Sie folgendes angeben:

   • Maximale Größe der Nachricht in Byte

     Geben Sie die maximale Größe der Nachricht in Byte an, die an das SIEM-System übertragen wird. Jedes Ereignis wird in einer Nachricht übermittelt. Wenn die reale Länge der Nachricht den angegebenen Wert überschreitet, wird die Nachricht abgeschnitten und Daten können verloren gehen. Standardmäßig beträgt die Größe der Nachricht 2048 Bytes. Dieses Feld ist nur verfügbar, falls Sie im Feld SIEM-System das Format Syslog ausgewählt haben.

5. Wenn es erforderlich ist, Ereignisse, die nach einem bestimmten Datum in der Vergangenheit aufgetreten sind ins SIEM-System zu exportieren, klicken Sie auf die Schaltfläche Archiv exportieren und geben Sie das Datum an, ab dem der Export der Ereignisse ausgeführt werden soll. Standardmäßig beginnt der Export der Ereignisse sofort nach der Aktivierung.
6. Klicken Sie auf die Schaltfläche OK.

Der automatische Ereignisexport ist aktiviert.

Nach der Aktivierung des automatischen Ereignisexports müssen Sie auswählen, welche Ereignisse ins SIEM-System exportiert werden sollen.

Siehe auch: Szenario: Den Ereignisexport in SIEM-Systeme konfigurieren Auswählen von Ereignissen für den Export in ein SIEM-System mittels Syslog-Format

Nach oben