Настройка Kaspersky Security Center для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Вы можете включить автоматический экспорт событий в Kaspersky Security Center.

Только общие события могут быть экспортированы от управляемых программ в форматах CEF и LEEF.  Специфические события программ не могут быть экспортированы от управляемых программ в форматах CEF и LEEF. Если необходимо экспортировать события управляемых программ или пользовательский набор событий, который настроен с помощью политик управляемых программ, используйте экспорт событий в формате Syslog.

Чтобы включить автоматический экспорт общих событий:

  1. В дереве консоли Kaspersky Security Center выберите узел с именем Сервера администрирования, события которого необходимо экспортировать.
  2. В рабочей области выбранного Сервера администрирования перейдите на закладку События.
  3. Нажмите на стрелку рядом со ссылкой Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите пункт Настроить экспорт в SIEM-систему.

    Откроется окно свойств событий на разделе Экспорт событий.

  4. В разделе Экспорт событий укажите следующие параметры экспорта:

    В разделе Экспорт событий установлен флажок Автоматически экспортировать события в базу SIEM-системы, в свойствах SIEM-системы выбрано значение ArcSight (CEF-формат), указаны адрес и порт сервера SIEM-системы, в поле Протокол выбрано значение TCP/IP.

    Раздел Экспорт событий окна свойств событий

    • Автоматически экспортировать события в базу SIEM-системы
    • SIEM-система
    • Адрес сервера SIEM-системы
    • Порт сервера SIEM-системы
    • Протокол

    Если вы выбрали формат Syslog, вам нужно указать:

    • Максимальный размер сообщения в байтах
  5. Если требуется выполнить экспорт в SIEM-систему событий, произошедших после определенной даты в прошлом, нажмите на кнопку Экспортировать архив и укажите дату, начиная с которой будет выполнен экспорт событий. По умолчанию экспорт событий начинается сразу после включения.
  6. Нажмите на кнопку ОК.

Автоматический экспорт событий включен.

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться в SIEM-систему.

См. также:

Сценарий: настройка экспорта событий в SIEM-системы

Выбор событий для экспорта в SIEM-системы в формате Syslog

В начало