CEF 및 LEEF 형식을 사용하여 이벤트 내보내기 정보

CEF 및 LEEF 프로토콜을 사용하여 SIEM 시스템 일반 이벤트와 함께 Kaspersky 애플리케이션에서 중앙 관리 서버로 전송한 이벤트로 내보낼 수 있습니다. 내보내기 이벤트 집합은 미리 정의되어 있으므로 내보낼 이벤트를 선택할 수는 없습니다.

CEF 및 LEEF 프로토콜을 통해 이벤트를 내보내려면 중앙 관리 서버에서 활성 라이센스 키 또는 유효한 활성화코드를 사용하여 .SIEM 시스템과의 통합 기능을 활성화해야 합니다.

사용하는 SIEM 시스템에 따라 내보내기 형식을 선택합니다. 아래 표에는 SIEM 시스템 및 해당 내보내기 형식이 나와 있습니다.

SIEM 시스템으로 이벤트 내보내기 형식

SIEM 시스템	내보내기 형식
QRadar	LEEF
ArcSight	CEF
Splunk	CEF

• LEEF(Log Event Extended Format)는 IBM Security QRadar SIEM용으로 사용자 지정된 이벤트 형식입니다. QRadar는 LEEF 이벤트를 통합, 식별 및 처리할 수 있습니다. LEEF 이벤트는 UTF-8 문자 인코딩을 사용해야 합니다. LEEF 프로토콜에 대한 세부 정보는 IBM Knowledge Center에서 확인할 수 있습니다.
• CEF(Common Event Format) - 서로 다른 여러 보안 및 네트워크 기기와 애플리케이션의 보안 관련 정보 상호 운용성을 개선하는 개방형 로그 관리 표준입니다. CEF에서는 공통 이벤트 로그 형식을 사용할 수 있으므로, 기업 관리 시스템에서 분석을 위해 데이터를 쉽게 통합하고 집계할 수 있습니다.

자동 내보내기 시에는 Kaspersky Security Center가 SIEM 시스템으로 일반 이벤트를 보냅니다. 이벤트 자동 내보내기를 사용하도록 설정한 직후에 내보내기가 시작됩니다. 이 섹션에서는 자동 이벤트 내보내기를 사용하도록 설정하는 방법을 자세히 설명합니다.

참고 항목: 시나리오: SIEM 시스템으로 이벤트 내보내기 구성

맨 위로