Перед отправкой событий в SIEM-систему (QRadar, ArcSight или Splunk) необходимо интерпретировать события Kaspersky Security Center в события в формате CEF и LEEF, используя правила, указанные в файле siem_conversion_rules.xml. Этот файл входит в комплект поставки Kaspersky Security Center.
Файл siem_conversion_rules.xml содержит предустановленные правила интерпретации для конвертации событий в формат CEF и LEEF. Если вы хотите использовать дополнительные правила интерпретации событий, вы можете добавить их в файл вручную.
Файл siem_conversion_rules.xml включает в себя разделы <product name="SP_QRADAR" vendor="IBM
"> и <product name="SP_QRADAR" vendor="IBM
">. Раздел <product name="SP_QRADAR" vendor="IBM">
содержит правила генерации событий в формате LEEF, которые можно экспортировать в SIEM-систему QRadar. Раздел <product name="SP_ARCSIGHT" vendor="HP
"> содержит правила генерации событий в формате CEF, которые можно экспортировать в SIEM-систему ArcSight или Splunk.
В каждом разделе есть подраздел <common>, в котором размещены атрибуты событий Kaspersky Security Center и соответствующие им атрибуты событий в формате LEEF. Эти общие атрибуты используются для всех типов событий, которые можно экспортировать.
Каждый раздел также имеет подраздел <event>
. Каждый подраздел <event>
содержит дополнительные атрибуты, которые добавляются к атрибутам, указанным в разделе <common>.
Вы можете вручную добавить новое правило генерации событий в файл siem_conversion_rules.xml.
Чтобы добавить новое правило генерации событий:
<event>
в раздел <product name="SP_QRADAR" vendor="IBM
"> или <product name="SP_QRADAR" vendor="IBM
">, а затем укажите дополнительные атрибуты события, если необходимо.<event>
будет пустым.siem_conversion_rules.xml
<conversion_rules>
<product name="SP_QRADAR" vendor="IBM">
<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND"> <!-- Generation rule for the GNRL_EV_VIRUS_FOUND event with additional attributes -->
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>
</param>
...
</event>
...
</product>
<product name="SP_ARCSIGHT" vendor="HP">
<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="dhost" type="AT_STRING" limit="1023"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND">
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="cs4" type="AT_STRING" limit="255"/>
<attr name="cs4Label" type="AT_STRING" val="SHA256"/>
</param>
...
</product>
</conversion_rules>
В начало