Kaspersky Security Center ermöglicht das automatische Empfangen von Informationen über Ereignisse, die während der Ausführung des Administrationsservers und auf verwalteten Geräten installierter Kaspersky-Anwendungen aufgetreten sind. Die Informationen über Ereignisse werden in der Datenbank des Administrationsservers gespeichert. Sie können diese Informationen in externe SIEM-Systeme exportieren. Der Export von Informationen über Ereignisse in externen SIEM-Systeme ermöglicht den Administratoren der SIEM-Systeme, auf die Ereignisse des Sicherheitssystems, die auf den verwalteten Geräten oder in den Administrationsgruppen auftreten, operativ zu reagieren.
Ereignistypen
In Kaspersky Security Center existieren die folgenden Ereignistypen:
Quellen von Ereignissen
Ereignisse können von den folgenden Programmen generiert werden:
Weitere Informationen zu den Ereignissen, die von verwalteten Kaspersky-Programmen generiert werden, finden Sie in der Dokumentation des entsprechenden Programms.
Sie können die vollständige Liste der Ereignisse anzeigen, die von einer Anwendung auf der Registerkarte Konfiguration von Ereignissen in der Anwendungsrichtlinie generiert werden können. Für den Administrationsserver können Sie zusätzlich die Ereignisliste in den Eigenschaften des Administrationsservers anzeigen.
Ereigniskategorie von Ereignissen
Jedes Ereignis hat eine eigene Ereigniskategorie. Je nach den Bedingungen des Auftretens, können dem Ereignis verschiedene Ereigniskategorien zugewiesen werden. Es sind vier Ereigniskategorien verfügbar:
Für jedes Ereignis ist die Speicherdauer festgelegt, die in Kaspersky Security Center angezeigt oder geändert werden kann. Einige Ereignisse werden nicht standardmäßig in der Datenbank des Administrationsservers gespeichert, da die für sie definierte Speicherdauer gleich Null ist. In externe Systeme können nur jene Ereignisse exportieren, die mindestens einen Tag in der Datenbank des Administrationsservers gespeichert werden.