Eksportowanie zdarzeń może być używane w obrębie scentralizowanych systemów, które zajmują się problemami z bezpieczeństwem na poziomie organizacyjnym i technicznym, zapewniają usługi monitorowania ochrony oraz skonsolidowane informacje z różnych rozwiązań. To są systemy SIEM, które oferują przeprowadzania w czasie rzeczywistym analizy ostrzeżeń i zdarzeń zabezpieczeń, wygenerowanych przez aplikacje i sprzęt w sieci, lub Security Operation Centers (SOCs).
Te systemy otrzymują dane z wielu źródeł, w tym sieci, ochrony, serwerów, baz danych i aplikacji. Systemy SIEM oferują także funkcjonalność konsolidowania monitorowanych danych, aby pomóc w uniknięciu przeoczenia zdarzeń krytycznych. Dodatkowo, systemy przeprowadzają zautomatyzowaną analizę powiązanych zdarzeń i ostrzeżeń w celu powiadomienia administratorów o nagłych problemach z bezpieczeństwem. Wysyłanie ostrzeżeń może zostać zaimplementowane poprzez pulpit nawigacyjny lub wysyłanie ostrzeżeń może się odbywać poprzez kanały firm trzecich, na przykład pocztę elektroniczną.
Proces eksportowania zdarzeń z Kaspersky Security Center do zewnętrznych systemów SIEM składa się na dwie części: nadawca zdarzenia—Kaspersky Security Center oraz odbiorca zdarzenia—system SIEM. Aby pomyślnie eksportować zdarzenia, należy skonfigurować tę funkcję w posiadanym systemie SIEM i w Konsoli administracyjnej Kaspersky Security Center. Nie ma znaczenia, która strona zostanie skonfigurowana jako pierwsza. Możesz skonfigurować przesyłanie zdarzeń w Kaspersky Security Center, a następnie skonfigurować odbieranie zdarzeń przez system SIEM lub na odwrót.
Metody wysyłania zdarzeń z Kaspersky Security Center
Dostępne są trzy metody wysyłania zdarzeń z Kaspersky Security Center do systemów zewnętrznych:
Korzystając z protokołu Syslog, możesz przekazywać dowolne zdarzenia, które wystąpiły na Serwerze administracyjnym Kaspersky Security Center i w aplikacjach firmy Kaspersky zainstalowanych na zarządzanych urządzeniach. Protokół Syslog jest standardowym protokołem rejestrowania wiadomości. Możesz go użyć do eksportowania zdarzeń do systemu SIEM.
W tym celu należy zaznaczyć zdarzenia, które chcemy przekazać do systemu SIEM. Możesz zaznaczyć zdarzenia w Konsoli administracyjnej lub konsoli Kaspersky Security Center Web Console. Tylko zaznaczone zdarzenia będą przekazywane do systemu SIEM. Jeśli nic nie zaznaczysz, żadne zdarzenia nie zostaną przekazane.
Możesz używać protokołów CEF i LEEF do eksportowania zdarzeń ogólnych. Podczas eksportowania zdarzeń po protokołach CEF i LEEF nie masz możliwości wyboru określonych zdarzeń do wyeksportowania. Eksportowane są wszystkie zdarzenia ogólne. W przeciwieństwie do protokołu Syslog, protokoły CEF i LEEF nie są uniwersalne. Protokoły CEF i LEEF są przeznaczone dla odpowiednich systemów SIEM (QRadar, Splunk i ArcSight). Dlatego też, jeśli wybierzesz eksportowanie zdarzeń poprzez jeden z tych protokołów, użyjesz parsera w systemie SIEM.
Ta metoda eksportowania zdarzeń może zostać użyta do odbierania zdarzeń bezpośrednio z widoków publicznych bazy danych przy użyciu zapytań SQL. Wyniki zapytań są zapisywane do pliku XML, który może zostać użyty jako dane wejściowe systemu zewnętrznego. Tylko zdarzenia dostępne w widokach publicznych mogą być eksportowane bezpośrednio z bazy danych.
Odbieranie zdarzeń przez system SIEM
System SIEM musi odbierać i poprawnie analizować zdarzenia otrzymywane z Kaspersky Security Center. W tym celu należy odpowiednio skonfigurować system SIEM. Konfiguracja zależy od specyfiki używanego systemu SIEM. Jednakże istnieje kilka ogólnych kroków w konfiguracji wszystkich systemów SIEM, takie jak konfigurowanie odbiorcy i analizatora.