Kaspersky Security Center에서 외부 SIEM 시스템으로 이벤트를 내보내는 프로세스의 당사자는 이벤트 발신자(Kaspersky Security Center)와 이벤트 수신자(SIEM 시스템)입니다. SIEM 시스템 및 Kaspersky Security Center 관리 콘솔에서 이벤트 내보내기를 구성해야 합니다.
SIEM 시스템에서 지정하는 설정은 사용하는 개별 시스템에 따라 달라집니다. 일반적으로는 모든 SIEM 시스템에서 수신자를 설정해야 하며 필요에 따라 수신된 이벤트를 구문 분석할 메시지 파서를 설정해야 합니다.
수신자 설정
Kaspersky Security Center에서 보낸 이벤트를 받으려면 SIEM 시스템에서 수신자를 설정해야 합니다. 일반적으로는 SIEM 시스템에서 다음 설정을 지정해야 합니다:
사용하는 SIEM 시스템에 따라 몇 가지 추가 수신자 설정을 지정해야 할 수 있습니다.
아래 그림에는 ArcSight의 수신자 설정 화면이 나와 있습니다.
ArcSight의 수신자 설정
메시지 파서
내보낸 이벤트는 SIEM 시스템에 메시지로 전달됩니다. 이러한 메시지를 적절하게 구문 분석해야 SIEM 시스템에서 이벤트에 대한 정보를 사용할 수 있습니다. SIEM 시스템의 일부분인 메시지 파서는 메시지 컨텐츠를 이벤트 ID 심각도, 설명, 파라미터 등의 관련 필드로 분할하는 데 사용됩니다. 그러면 SIEM 시스템은 Kaspersky Security Center에서 받은 이벤트를 처리하여 SIEM 시스템 데이터베이스에 저장할 수 있습니다.