Możesz włączyć automatyczne eksportowanie zdarzeń w Kaspersky Security Center.
Tylko zdarzenia ogólne mogą być eksportowane z zarządzanych aplikacji w formatach CEF i LEEF. Zdarzenia specyficzne dla aplikacji nie mogą być eksportowane z zarządzanych aplikacji w formatach CEF i LEEF. Jeśli chcesz wyeksportować zdarzenia zarządzanych aplikacji lub niestandardowy zestaw zdarzeń, który został skonfigurowany przy użyciu zasad zarządzanych aplikacji, wyeksportuj zdarzenia w formacie Syslog.
W celu włączenia automatycznego eksportowania zdarzeń:
W drzewie konsoli Kaspersky Security Center wybierz Serwer administracyjny, którego zdarzenia chcesz wyeksportować.
W obszarze roboczym wybranego Serwera administracyjnego wybierz zakładkę Zdarzenia.
Kliknij strzałkę rozwijalną znajdującą się obok odnośnika Konfiguruj powiadomienia i eksportowanie zdarzeń i z listy rozwijalnej wybierz Konfiguruj eksportowanie do SIEM.
Okno właściwości zdarzeń zostanie otwarte na sekcji Eksportowanie zdarzeń.
W sekcji Eksportowanie zdarzeń określ następujące ustawienia eksportowania:
Sekcja Eksportowanie zdarzeń w oknie właściwości zdarzeń
Zaznacz to pole, aby włączyć automatyczne eksportowanie zdarzeń do systemów SIEM. Zaznaczenie tego pola włącza wszystkie pola w sekcji Eksportowanie zdarzeń.
Wybierz system SIEM, do którego zostaną wyeksportowane zdarzenia: QRadar® (format LEEF), ArcSight (format CEF), Splunk® (format CEF) i format Syslog (RFC 5424).
Określ numer portu używanego do nawiązywania połączenia z serwerem systemu SIEM. Ten numer portu musi być taki sam, jak ten, którego Twój system SIEM używa do pobierania zdarzeń (więcej informacji można znaleźć w sekcji Konfigurowanie systemu SIEM).
Wybierz protokół, który będzie używany do przesyłania wiadomości do systemu SIEM. Możesz wybrać protokół TCP/IP lub UDP. Protokół TCP/IP jest bezpieczniejszy, ponieważ obsługuje potwierdzenia odbioru wiadomości. Protokół UDP jest prostszy i odpowiedni w sytuacjach, w których sprawdzanie i poprawa błędów nie jest potrzebne lub jest wykonywane w aplikacji.
Określ maksymalny rozmiar (w bajtach) jednej wiadomości przekazywanej do systemu SIEM. Każde zdarzenie jest przesyłane w jednej wiadomości. Jeśli rzeczywisty rozmiar wiadomości przekracza określoną wartość, wiadomość jest skracana i dane mogą zostać utracone. Domyślny rozmiar to 2048 bajtów. To pole jest dostępne tylko wtedy, gdy w polu System SIEM wybrałeś format dziennika systemu.
Jeśli chcesz wyeksportować do bazy danych systemu SIEM zdarzenia, które wystąpiły po określonej dacie w przeszłości, kliknij przycisk Eksportuj archiwum i określ datę początkową dla eksportowania zdarzeń. Domyślnie, eksportowanie zdarzeń rozpoczyna się od razu po włączeniu tej opcji.
Kliknij OK.
Automatyczne eksportowanie zdarzeń jest włączone.
Po włączeniu automatycznego eksportowania zdarzeń, należy wskazać zdarzenia, które zostaną wyeksportowane do systemu SIEM.