配置卡巴斯基安全管理中心以將事件匯出到 SIEM 系統
延伸所有 | 折疊所有
您可以在卡巴斯基安全管理中心中啟用自動事件匯出。
僅一般事件可以透過 CEF 和 LEEF 格式從受管理應用程式匯出。應用程式特定事件無法透過 CEF 和 LEEF 格式從受管理應用程式匯出。如果您需要匯出受管理的應用程式的事件或使用受管理的應用程式的政策配置的自訂事件集,您必須以 Syslog 格式匯出這些事件。
若要啟用事件自動匯出:
- 在卡巴斯基安全管理中心主控台樹狀目錄,選取您要匯出事件的管理伺服器。
- 在所選管理伺服器的工作區中,選擇事件頁簽。
- 點擊配置通知和事件匯出連結旁的下拉箭頭並選取下拉清單的設定匯出到 SIEM 系統。
事件內容視窗中將開啟事件匯出區域。
- 在事件匯出區域中,指定以下匯出設定:
事件內容視窗的事件匯出區域
- 自動匯出事件至SIEM系統資料庫
選取此核取方塊以啟用自動匯出事件至 SIEM 系統。選取該核取方塊啟用匯出事件區域的所有欄位。
- SIEM 系統
選擇要匯出事件的 SIEM 系統:QRadar®(LEEF 格式)、 ArcSight(CEF 格式)、Splunk®(CEF 格式)和 Syslog 格式 (RFC 5424)。
- SIEM 系統伺服器位址
指定 SIEM 系統伺服器位址。位址可以被指定為 DNS 或 NetBIOS 名稱或 IP 位址。
- SIEM 系統伺服器連接埠
指定用於連線至 SIEM 系統伺服器的埠號。該埠號必須和 SIEM 系統用於接收事件的連接埠相同(參見「設定 SIEM 系統」)。
- 協定
選取該協定用於傳輸訊息到 SIEM 系統。您可以選取 TCP/IP 或 UDP 協定。TCP/IP 更安全,因為它支援對訊息接收的確認。UDP 更簡單,且適用於錯誤檢查和變更不必要或在應用程式中進行的情況。
如果選取 Syslog 格式,則必須指定:
- 最大訊息大小,位元
指定 SIEM 系統訊息的最大大小。每個事件被一條訊息轉發。如果訊息的精確長度超過指定值,訊息被截斷且資料可能遺失。預設大小是 2048 位元組。如果您在 SIEM 系統欄位選取 Syslog 格式,則可使用該欄位。
- 如果您要將發生在指定日期後的事件匯出到 SIEM 系統資料庫,請點擊匯出檔案按鈕並指定事件匯出的開始日期。預設下,事件匯出在您啟用後立即開始。
- 點擊確定。
自動匯出事件被啟用。
在啟用自動匯出事件後,您必須選取將被匯出到 SIEM 系統的事件。
頁頂