イベントを SIEM システムにエクスポートするための Kaspersky Security Center の設定

すべて表示 | すべて非表示

Kaspersky Security Center でイベントの自動的なエクスポートを有効にできます。

管理対象アプリケーションから CEF 形式おとび LEEF 形式でエクスポート可能なイベントは一般イベントのみです。アプリケーション固有のイベントは、管理対象アプリケーションから CEF 形式および LEEF 形式でエクスポートできません。管理対象アプリケーションのイベントまたは管理対象アプリケーションのポリシーを使用して設定されたカスタムイベントをエクスポートするには、イベントを Syslog 形式でエクスポートする必要があります。

イベントの自動的なエクスポートを有効にするには：

1. Kaspersky Security Center のコンソールツリーで、イベントをエクスポートする管理サーバーを選択します。
2. 選択した管理サーバーの作業領域で、［イベント］タブを選択します。
3. ［通知とイベントのエクスポートの設定］に隣接するドロップダウン矢印をクリックして、ドロップダウンリストから［SIEM システムへのエクスポートの設定］を選択します。

   イベントのプロパティウィンドウが開き、［イベントのエクスポート］セクションが表示されます。

4. ［イベントのエクスポート］セクションで、次のエクスポート設定を指定します：

   

   イベントのプロパティウィンドウの［イベントのエクスポート］セクション

   • イベントを SIEM システムデータベースへ自動的にエクスポート

     このチェックボックスをオンにすると、SIEM システムへのイベントの自動エクスポートが有効になります。このチェックボックスをオンにすると、［イベントのエクスポート］セクションのすべてのフィールドが有効になります。

   • SIEM システム

     イベントをエクスポートする SIEM システムを選択します：QRadar®（LEEF 形式）、ArcSight（CEF 形式）、Splunk®（CEF 形式）、Syslog 形式（RFC 5424）。

   • SIEM システムサーバーアドレス

     SIEM システムサーバーアドレスを指定します。アドレスは、DNS または NetBIOS 名または IP アドレスとして指定できます。

   • SIEM システムサーバーのポート

     SIEM システムサーバーへの接続用のポート番号を指定します。このポート番号は、SIEM システムがイベントの受信に使用するポートと同じにする必要があります（詳細については、「SIEM システムの設定」のセクションを参照）。

   • プロトコル

     メッセージを SIEM システムに送信するために使用するプロトコルを選択します。TCP/IP または UDP プロトコルのいずれかを選択できます。TCP/IP は、メッセージのイベント受信の確認に対応しているのでより安全です。UDP はより簡素なプロトコルで、エラーの確認と修正が不要なアプリケーションで実行される場合に適しています。

   Syslog 形式を選択する場合は、次を指定する必要があります：

   • 最大メッセージサイズ（バイト）

     SIEM システムにリレーされた 1 つのメッセージの最大サイズ（バイト）を指定します。各イベントは 1 つのメッセージでリレーされます。メッセージの実際の長さが指定の値を上回る場合、メッセージは切り捨てられて、データが失われる可能性があります。既定のサイズは 2048 バイトです。［SIEM システム］で Syslog 形式を選択した場合にだけ、このフィールドを使用できます。

5. 過去の指定した日付を経過した後に発生したイベントを SIEM システムデータベースにエクスポートする場合は、［エクスポート］をクリックして、イベントをエクスポートする開始日を指定します。既定では、イベントのエクスポートは、エクスポートを有効にするとすぐに開始されます。
6. ［OK］をクリックします。

イベントの自動エクスポートが有効になります。

イベントの自動エクスポートを有効にしたら、SIEM システムにエクスポートするイベントを選択します。

関連項目： シナリオ：SIEM システムへのイベントのエクスポートの設定 Syslog 形式で SIEM システムにエクスポートするイベントのマーキング

ページのトップに戻る