Conversión de eventos al formato CEF o LEEF

Antes de enviar eventos al sistema SIEM (QRadar, ArcSight o Splunk), es necesario interpretar los eventos de Kaspersky Security Center en eventos en formato CEF y LEEF utilizando las reglas especificadas en el archivo siem_conversion_rules.xml. Este archivo está incluido en el kit de distribución de Kaspersky Security Center.

El archivo siem_conversion_rules.xml contiene las reglas de interpretación predefinidas para convertir eventos al formato CEF y LEEF. Si desea utilizar reglas de interpretación de eventos adicionales, puede agregarlas al archivo manualmente.

El archivo siem_conversion_rules.xml incluye las secciones <product name="SP_QRADAR" vendor="IBM"> y <product name="SP_QRADAR" vendor="IBM">. La sección <product name="SP_QRADAR" vendor="IBM">contiene reglas para generar eventos en formato LEEF, que se pueden exportar al sistema SIEM de QRadar. La sección <product name="SP_ARCSIGHT" vendor="HP">contiene reglas para generar eventos en formato CEF, que se pueden exportar al sistema SIEM de QRadar.

Cada sección tiene la subsección <common> donde se encuentran los atributos de eventos de Kaspersky Security Center y los atributos correspondientes de los eventos en formato LEEF. Estos atributos comunes se utilizan para todos los tipos de eventos que se pueden exportar.

Además, cada sección tiene las subsecciones <event>. Cada subsección <event> contiene atributos adicionales que se agregan a los enumerados en la sección <common>.

Puede agregar una nueva regla de generación de eventos al archivo siem_conversion_rules.xml manualmente.

Para agregar una nueva regla de generación de eventos:

  1. Agregar una nueva subsección <event> a la sección <product name="SP_QRADAR" vendor="IBM"> o <product name="SP_QRADAR" vendor="IBM">y, a continuación, especifique los atributos de evento adicionales, si es necesario.
  2. Si un evento consta únicamente de atributos comunes, la subsección <event> estará vacía.

siem_conversion_rules.xml

<conversion_rules>

<product name="SP_QRADAR" vendor="IBM">

<common> <!-- Atributos de eventos comunes de Kaspersky Security Center y atributos de eventos LEEF correspondientes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND"> <!-- Regla de generación para el evento GNRL_EV_VIRUS_FOUND con atributos adicionales -->

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>

</param>

...

</event>

...

</product>

<product name="SP_ARCSIGHT" vendor="HP">

<common> <!-- Atributos de eventos comunes de Kaspersky Security Center y atributos de eventos LEEF correspondientes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="dhost" type="AT_STRING" limit="1023"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND">

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="cs4" type="AT_STRING" limit="255"/>

<attr name="cs4Label" type="AT_STRING" val="SHA256"/>

</param>

...

</product>

</conversion_rules>

Principio de la página