SIEM 시스템으로 이벤트를 내보내기 위한 Kaspersky Security Center 구성

모두 펼치기 | 모두 접기

Kaspersky Security Center에서 자동 이벤트 내보내기를 활성화시킬 수 있습니다.

일반 이벤트만 관리되는 애플리케이션에서 CEF 및 LEEF 형식을 통해 내보낼 수 없습니다.  애플리케이션 특정 이벤트는 관리되는 애플리케이션에서 CEF 및 LEEF 형식을 통해 내보낼 수 없습니다. 관리되는 애플리케이션의 정책을 사용하여 구성된 사용자 지정 이벤트 세트나 관리되는 애플리케이션의 이벤트를 내보내기해야 한다면 Syslog 형식을 통해 이벤트 내보냅니다.

자동 이벤트 내보내기 활성화:

1. Kaspersky Security Center 콘솔 트리에서 이벤트를 내보낼 중앙 관리 서버를 선택합니다.
2. 선택한 중앙 관리 서버의 작업 영역에서 이벤트 탭을 누릅니다.
3. 알림 구성 및 이벤트 내보내기 링크 옆에 있는 드롭다운 펼침 버튼을 누르고 드롭다운 목록에서 SIEM 시스템으로 내보내기 구성을 선택합니다.

   이벤트 속성 창이 열리고 이벤트 내보내기 섹션이 표시됩니다.

4. 이벤트 내보내기 섹션에서 다음 내보내기 설정을 지정합니다.

   

   이벤트 속성 창의 이벤트 내보내기 섹션

   • SIEM 시스템 데이터베이스로 이벤트를 자동으로 내보내기

     SIEM 시스템으로의 이벤트 자동 내보내기를 사용하도록 설정하려면 이 확인란을 선택합니다. 이 확인란을 선택하면 이벤트 내보내기 섹션의 모든 필드가 사용할 수 있도록 설정됩니다.

   • SIEM 시스템

     SIEM 시스템을 선택하여 QRadar®(LEEF 형식), ArcSight(CEF 형식), Splunk®(CEF 형식), Syslog 형식(RFC 5424)와 같은 이벤트를 내보냅니다.

   • SIEM 시스템 서버 주소

     SIEM 시스템 서버 주소를 지정합니다. 주소는 DNS 또는 NetBIOS 이름이나 IP 주소로 지정할 수 있습니다.

   • SIEM 시스템 서버 포트

     SIEM 시스템 서버 연결에 사용되는 포트 번호를 지정합니다. 이 포트 번호는 SIEM 시스템이 이벤트를 받는 데 사용하는 번호와 같아야 합니다. 자세한 내용은 SIEM 시스템 구성 섹션을 참조하십시오.

   • 프로토콜

     SIEM 시스템으로 메시지를 전송하는 데 사용할 프로토콜을 선택합니다. TCP/IP 또는 UDP 프로토콜을 선택할 수 있습니다. 메시지 수신 확인을 지원하는 TCP/IP가 보다 안전합니다. 보다 단순한 프로토콜인 UDP는 오류 확인과 수정이 필요하지 않거나 애플리케이션에서 수행되는 상황에 적합합니다.

   Syslog 형식을 선택하는 경우 다음을 지정해야 합니다:

   • 최대 메시지 크기, 바이트

     SIEM 시스템으로 전달되는 메시지 하나의 최대 크기(바이트)를 지정합니다. 각 이벤트는 메시지 하나로 전달됩니다. 실제 메시지 길이가 지정된 값을 초과하면 메시지가 잘리며 데이터가 손실될 수 있습니다. 기본 크기는 2048바이트입니다. 이 필드는 SIEM 시스템 필드에서 Syslog 형식을 선택한 경우에만 사용할 수 있습니다.

5. 이전의 특정 날짜 이후에 발생한 이벤트를 SIEM 시스템 데이터베이스로 내보내려는 경우 아카이브 내보내기 버튼을 누르고 이벤트 내보내기 시작 날짜를 지정합니다. 기본적으로는 이벤트 내보내기를 사용하도록 설정한 직후에 내보내기가 시작됩니다.
6. 확인를 누릅니다.

이벤트 자동 내보내기가 사용하도록 설정됩니다.

이벤트 자동 내보내기를 사용하도록 설정한 후에는 SIEM 시스템으로 내보낼 이벤트를 선택해야 합니다.

참고 항목: 시나리오: SIEM 시스템으로 이벤트 내보내기 구성 Syslog 형식으로 SIEM 시스템으로 내보내기 위한 이벤트 표시

맨 위로