Конвертация событий в формат CEF или LEEF

Перед отправкой событий в SIEM-систему (QRadar, ArcSight или Splunk) необходимо интерпретировать события Kaspersky Security Center в события в формате CEF и LEEF, используя правила, указанные в файле siem_conversion_rules.xml. Этот файл входит в комплект поставки Kaspersky Security Center.

Файл siem_conversion_rules.xml содержит предустановленные правила интерпретации для конвертации событий в формат CEF и LEEF. Если вы хотите использовать дополнительные правила интерпретации событий, вы можете добавить их в файл вручную.

Файл siem_conversion_rules.xml включает в себя разделы <product name="SP_QRADAR" vendor="IBM"> и <product name="SP_QRADAR" vendor="IBM">. Раздел <product name="SP_QRADAR" vendor="IBM"> содержит правила генерации событий в формате LEEF, которые можно экспортировать в SIEM-систему QRadar. Раздел <product name="SP_ARCSIGHT" vendor="HP"> содержит правила генерации событий в формате CEF, которые можно экспортировать в SIEM-систему ArcSight или Splunk.

В каждом разделе есть подраздел <common>, в котором размещены атрибуты событий Kaspersky Security Center и соответствующие им атрибуты событий в формате LEEF. Эти общие атрибуты используются для всех типов событий, которые можно экспортировать.

Каждый раздел также имеет подраздел <event>. Каждый подраздел <event> содержит дополнительные атрибуты, которые добавляются к атрибутам, указанным в разделе <common>.

Вы можете вручную добавить новое правило генерации событий в файл siem_conversion_rules.xml.

Чтобы добавить новое правило генерации событий:

  1. добавьте новый подраздел <event> в раздел <product name="SP_QRADAR" vendor="IBM"> или <product name="SP_QRADAR" vendor="IBM">, а затем укажите дополнительные атрибуты события, если необходимо.
  2. Если событие состоит только из общих атрибутов, подраздел <event> будет пустым.

siem_conversion_rules.xml

<conversion_rules>

<product name="SP_QRADAR" vendor="IBM">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND"> <!-- Generation rule for the GNRL_EV_VIRUS_FOUND event with additional attributes -->

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>

</param>

...

</event>

...

</product>

<product name="SP_ARCSIGHT" vendor="HP">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="dhost" type="AT_STRING" limit="1023"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND">

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="cs4" type="AT_STRING" limit="255"/>

<attr name="cs4Label" type="AT_STRING" val="SHA256"/>

</param>

...

</product>

</conversion_rules>

В начало