Konfigurowanie Kaspersky Security Center do wyeksportowania zdarzeń do systemu SIEM

Rozwiń wszystko | Zwiń wszystko

Możesz włączyć automatyczne eksportowanie zdarzeń w Kaspersky Security Center.

Tylko zdarzenia ogólne mogą być eksportowane z zarządzanych aplikacji w formatach CEF i LEEF.  Zdarzenia specyficzne dla aplikacji nie mogą być eksportowane z zarządzanych aplikacji w formatach CEF i LEEF. Jeśli chcesz wyeksportować zdarzenia zarządzanych aplikacji lub niestandardowy zestaw zdarzeń, który został skonfigurowany przy użyciu zasad zarządzanych aplikacji, wyeksportuj zdarzenia w formacie Syslog.

W celu włączenia automatycznego eksportowania zdarzeń:

1. W drzewie konsoli Kaspersky Security Center wybierz Serwer administracyjny, którego zdarzenia chcesz wyeksportować.
2. W obszarze roboczym wybranego Serwera administracyjnego wybierz zakładkę Zdarzenia.
3. Kliknij strzałkę rozwijalną znajdującą się obok odnośnika Konfiguruj powiadomienia i eksportowanie zdarzeń i z listy rozwijalnej wybierz Konfiguruj eksportowanie do SIEM.

   Okno właściwości zdarzeń zostanie otwarte na sekcji Eksportowanie zdarzeń.

4. W sekcji Eksportowanie zdarzeń określ następujące ustawienia eksportowania:

   

   Sekcja Eksportowanie zdarzeń w oknie właściwości zdarzeń

   • Automatycznie eksportuj zdarzenia do bazy danych systemu SIEM

     Zaznacz to pole, aby włączyć automatyczne eksportowanie zdarzeń do systemów SIEM. Zaznaczenie tego pola włącza wszystkie pola w sekcji Eksportowanie zdarzeń.

   • System SIEM

     Wybierz system SIEM, do którego zostaną wyeksportowane zdarzenia: QRadar® (format LEEF), ArcSight (format CEF), Splunk® (format CEF) i format Syslog (RFC 5424).

   • Adres serwera systemu SIEM

     Określ adres serwera systemu SIEM. Adres można określić jako nazwę DNS lub NetBIOS lub jako adres IP.

   • Port serwera systemu SIEM

     Określ numer portu używanego do nawiązywania połączenia z serwerem systemu SIEM. Ten numer portu musi być taki sam, jak ten, którego Twój system SIEM używa do pobierania zdarzeń (więcej informacji można znaleźć w sekcji Konfigurowanie systemu SIEM).

   • Protokół

     Wybierz protokół, który będzie używany do przesyłania wiadomości do systemu SIEM. Możesz wybrać protokół TCP/IP lub UDP. Protokół TCP/IP jest bezpieczniejszy, ponieważ obsługuje potwierdzenia odbioru wiadomości. Protokół UDP jest prostszy i odpowiedni w sytuacjach, w których sprawdzanie i poprawa błędów nie jest potrzebne lub jest wykonywane w aplikacji.

   Jeśli wybierzesz format Syslog, musisz określić:

   • Maksymalny rozmiar wiadomości, w bajtach

     Określ maksymalny rozmiar (w bajtach) jednej wiadomości przekazywanej do systemu SIEM. Każde zdarzenie jest przesyłane w jednej wiadomości. Jeśli rzeczywisty rozmiar wiadomości przekracza określoną wartość, wiadomość jest skracana i dane mogą zostać utracone. Domyślny rozmiar to 2048 bajtów. To pole jest dostępne tylko wtedy, gdy w polu System SIEM wybrałeś format dziennika systemu.

5. Jeśli chcesz wyeksportować do bazy danych systemu SIEM zdarzenia, które wystąpiły po określonej dacie w przeszłości, kliknij przycisk Eksportuj archiwum i określ datę początkową dla eksportowania zdarzeń. Domyślnie, eksportowanie zdarzeń rozpoczyna się od razu po włączeniu tej opcji.
6. Kliknij OK.

Automatyczne eksportowanie zdarzeń jest włączone.

Po włączeniu automatycznego eksportowania zdarzeń, należy wskazać zdarzenia, które zostaną wyeksportowane do systemu SIEM.

Zobacz również: Scenariusz: Konfigurowanie eksportowania zdarzeń do systemów SIEM Oznaczenie zdarzeń do wyeksportowania do systemów SIEM w formacie Syslog

Przejdź do góry