Configurar Kaspersky Security Center para exportar eventos a un sistema SIEM

Expandir todo | Contraer todo

Puede habilitar la exportación automática de eventos en Kaspersky Security Center.

Solo se pueden exportar eventos generales desde las aplicaciones administradas mediante los formatos CEF y LEEF.  Los eventos específicos de la aplicación no se pueden exportar desde las aplicaciones administradas mediante los formatos CEF y LEEF. Si necesita exportar eventos de aplicaciones administradas o un conjunto personalizado de eventos que se haya configurado utilizando las directivas de aplicaciones administradas, debe exportar los eventos en formato Syslog.

Para habilitar la exportación automática de eventos, haga lo siguiente:

1. En el árbol de consola de Kaspersky Security Center, seleccione el Servidor de administración cuyos eventos desea exportar.
2. En el espacio de trabajo del Servidor de administración seleccionado, seleccione la pestaña Eventos.
3. Haga clic en la flecha desplegable junto al enlace Configurar las notificaciones y la exportación de eventos y seleccione Configurar exportación a sistema SIEM en la lista desplegable.

   Se abre la ventana propiedades de eventos, mostrando la sección Exportación de eventos.

4. En la sección Exportación de eventos, especifique la siguiente configuración de exportación:

   

   Sección Exportación de evento de la ventana Propiedades del evento

   • Exportar automáticamente eventos a la base de datos del sistema SIEM

     Seleccione esta casilla para habilitar la exportación automática de eventos al sistema SIEM. Cuando marque la casilla, se habilitarán todos los campos de la sección Exportar eventos.

   • Sistema SIEM

     Seleccione el sistema SIEM al cual exportar los eventos: QRadar (formato LEEF), ArcSight (formato CEF), Splunk (formato CEF) y en formato Syslog (RFC 5424).

   • Dirección del servidor del sistema SIEM

     Especifique la dirección del servidor del sistema SIEM. La dirección se puede especificar como un nombre NetBIOS o DNS o como una dirección IP.

   • Puerto del servidor del sistema SIEM

     Especifique el número de puerto para conectarse con el servidor del sistema SIEM. Este número de puerto debe ser el mismo que el que usado por su sistema SIEM para recibir los eventos (consulte la sección Configuración de un sistema SIEM para más detalles).

   • Protocolo

     Seleccione el protocolo que se utilizará para transferir mensajes al sistema SIEM. Puede seleccionar el protocolo TCP/IP o UDP. TCP/IP es más seguro porque admite confirmaciones al recibir el mensaje. UDP es un protocolo más sencillo y resulta adecuado en situaciones donde la comprobación y la corrección de errores no son necesarias o se realizan en la aplicación.

   Si selecciona el formato Syslog, debe especificar lo siguiente:

   • Tamaño máximo del mensaje, en bytes

     Especifique el tamaño máximo (en bytes) de un mensaje transmitido al sistema SIEM. Cada evento se transmite en un mensaje. Si la duración real de un mensaje supera el valor especificado, el mensaje es truncado y los datos se pueden perder. El tamaño predeterminado es de 2048 bytes. Este campo solo está disponible si seleccionara el formato de Syslog en el campo Sistema SIEM.

5. Si desea exportar a la base de datos del sistema SIEM los eventos que ocurrieron después de una fecha especificada en el pasado, haga clic en el botón Exportar archivo y especifique la fecha de inicio para la exportación del evento. De forma predeterminada, la exportación del evento inicia inmediatamente después de que la habilita.
6. Haga clic en Aceptar.

La exportación automática de eventos está habilitada.

Después de habilitar la exportación automática de eventos, debe seleccionar qué eventos se exportarán al sistema SIEM.

Consulte también: Escenario: Configurar la exportación de eventos a un sistema SIEM Marcar los eventos que se exportarán a un sistema SIEM en formato Syslog

Principio de página