イベントを SIEM システムにエクスポートするための Kaspersky Security Center の設定
すべて表示 | すべて非表示
Kaspersky Security Center でイベントの自動的なエクスポートを有効にできます。
管理対象アプリケーションから CEF 形式おとび LEEF 形式でエクスポート可能なイベントは一般イベントのみです。アプリケーション固有のイベントは、管理対象アプリケーションから CEF 形式および LEEF 形式でエクスポートできません。管理対象アプリケーションのイベントまたは管理対象アプリケーションのポリシーを使用して設定されたカスタムイベントをエクスポートするには、イベントを Syslog 形式でエクスポートする必要があります。
イベントの自動的なエクスポートを有効にするには:
- Kaspersky Security Center のコンソールツリーで、イベントをエクスポートする管理サーバーを選択します。
- 選択した管理サーバーの作業領域で、[イベント]タブを選択します。
- [通知とイベントのエクスポートの設定]に隣接するドロップダウン矢印をクリックして、ドロップダウンリストから[SIEM システムへのエクスポートの設定]を選択します。
イベントのプロパティウィンドウが開き、[イベントのエクスポート]セクションが表示されます。
- [イベントのエクスポート]セクションで、次のエクスポート設定を指定します:
イベントのプロパティウィンドウの[イベントのエクスポート]セクション
- イベントを SIEM システムデータベースへ自動的にエクスポート
このチェックボックスをオンにすると、SIEM システムへのイベントの自動エクスポートが有効になります。このチェックボックスをオンにすると、[イベントのエクスポート]セクションのすべてのフィールドが有効になります。
- SIEM システム
イベントをエクスポートする SIEM システムを選択します:QRadar®(LEEF 形式)、ArcSight(CEF 形式)、Splunk®(CEF 形式)、Syslog 形式(RFC 5424)。
- SIEM システムサーバーアドレス
SIEM システムサーバーアドレスを指定します。アドレスは、DNS または NetBIOS 名または IP アドレスとして指定できます。
- SIEM システムサーバーのポート
SIEM システムサーバーへの接続用のポート番号を指定します。このポート番号は、SIEM システムがイベントの受信に使用するポートと同じにする必要があります(詳細については、「SIEM システムの設定」のセクションを参照)。
- プロトコル
メッセージを SIEM システムに送信するために使用するプロトコルを選択します。TCP/IP または UDP プロトコルのいずれかを選択できます。TCP/IP は、メッセージのイベント受信の確認に対応しているのでより安全です。UDP はより簡素なプロトコルで、エラーの確認と修正が不要なアプリケーションで実行される場合に適しています。
Syslog 形式を選択する場合は、次を指定する必要があります:
- 最大メッセージサイズ(バイト)
SIEM システムにリレーされた 1 つのメッセージの最大サイズ(バイト)を指定します。各イベントは 1 つのメッセージでリレーされます。メッセージの実際の長さが指定の値を上回る場合、メッセージは切り捨てられて、データが失われる可能性があります。既定のサイズは 2048 バイトです。[SIEM システム]で Syslog 形式を選択した場合にだけ、このフィールドを使用できます。
- 過去の指定した日付を経過した後に発生したイベントを SIEM システムデータベースにエクスポートする場合は、[エクスポート]をクリックして、イベントをエクスポートする開始日を指定します。既定では、イベントのエクスポートは、エクスポートを有効にするとすぐに開始されます。
- [OK]をクリックします。
イベントの自動エクスポートが有効になります。
イベントの自動エクスポートを有効にしたら、SIEM システムにエクスポートするイベントを選択します。
ページのトップに戻る