Kaspersky Security Center 14 Windows
14

Conversion d'événements au format CEF ou LEEF

Avant d'envoyer des événements au système SIEM (QRadar, ArcSight ou Splunk), il est nécessaire d'interpréter les événements de Kaspersky Security Center en événements au format CEF et LEEF en utilisant les règles indiquées dans le fichier siem_conversion_rules.xml. Ce fichier figure dans le kit de distribution de Kaspersky Security Center.

Le fichier siem_conversion_rules.xml contient les règles d'interprétation prédéfinies pour convertir les événements au format CEF et LEEF. Si vous souhaitez utiliser d'autres règles d'interprétation d'événements, vous pouvez les ajouter manuellement au fichier.

Le fichier siem_conversion_rules.xml inclut les sections <product name="SP_QRADAR" vendor="IBM"> et <product name="SP_QRADAR" vendor="IBM">. La section <product name="SP_QRADAR" vendor="IBM"> contient des règles pour générer des événements au format LEEF, qui peuvent être exportés vers le système QRadar SIEM. La section <product name="SP_ARCSIGHT" vendor="HP"> contient des règles pour générer des événements au format CEF, qui peuvent être exportés vers le système ArcSight ou Splunk SIEM.

Chaque section contient la sous-section <common> dans laquelle se trouvent les attributs d'événements de Kaspersky Security Center et les attributs correspondants des événements au format LEEF. Ces attributs communs sont utilisés pour tous les types d'événements pouvant être exportés.

De plus, chaque section contient les sous-sections <event>. Chaque sous-section <event> contient des attributs supplémentaires qui s'ajoutent à ceux répertoriés dans la section <common>.

Vous pouvez ajouter manuellement une nouvelle règle de génération d'événements au fichier siem_conversion_rules.xml.

Pour ajouter une nouvelle règle de génération d'événements,

Ajoutez une nouvelle sous-section <event> à la section <product name="SP_QRADAR" vendor="IBM"> ou <product name="SP_QRADAR" vendor="IBM">, puis indiquez les attributs d'événement supplémentaires, si nécessaire.

Si un événement est constitué uniquement d'attributs communs, la sous-section <event> sera vide.

siem_conversion_rules.xml

<conversion_rules> <product name="SP_QRADAR" vendor="IBM"> <common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes --> <param name="KLSPLG_HOST_DISP_NAME" type="STRING_T"> <attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/> </param> ... </common> <event id="GNRL_EV_VIRUS_FOUND"> <!-- Generation rule for the GNRL_EV_VIRUS_FOUND event with additional attributes --> <param name="GNRL_EA_PARAM_1" type="STRING_T"> <attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/> </param> ... </event> ... </product> <product name="SP_ARCSIGHT" vendor="HP"> <common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes --> <param name="KLSPLG_HOST_DISP_NAME" type="STRING_T"> <attr name="dhost" type="AT_STRING" limit="1023"/> </param> ... </common> <event id="GNRL_EV_VIRUS_FOUND"> <param name="GNRL_EA_PARAM_1" type="STRING_T"> <attr name="cs4" type="AT_STRING" limit="255"/> <attr name="cs4Label" type="AT_STRING" val="SHA256"/> </param> ... </product> </conversion_rules>
Haut de page