Informacje dotyczące eksportowania zdarzeń przy użyciu formatów CEF i LEEF

Możesz użyć formatów CEF i LEEF, aby wyeksportować ogólne zdarzenia do systemów SIEM, a także zdarzenia przesyłane przez aplikacje Kaspersky do Serwera administracyjnego. Zestaw eksportowanych zdarzeń jest predefiniowany i nie możesz wybrać zdarzeń do wyeksportowania. Przed wysłaniem zdarzeń do systemu SIEM (QRadar, ArcSight lub Splunk) konieczna jest interpretacja zdarzeń Kaspersky Security Center jako zdarzeń w formacie CEF i LEEF przy użyciu reguł określonych w pliku siem_conversion_rules.xml.

Wybierz format eksportowania w oparciu o używany system SIEM. Poniższa tabela wyświetla systemy SIEM i odpowiadające im formaty eksportu.

Formaty eksportowania zdarzenia do systemu SIEM

System SIEM	Format eksportu
QRadar	LEEF
ArcSight	CEF
Splunk	CEF

• LEEF (Log Event Extended Format) - dostosowany format zdarzeń dla IBM Security QRadar SIEM. QRadar może integrować, identyfikować i przetwarzać zdarzenia LEEF. Zdarzenia LEEF muszą używać kodowania UTF-8. Szczegółowe informacje na temat protokołu LEEF można znaleźć w Centrum wiedzy IBM.
• CEF (Common Event Format)—standard zarządzania dziennikami, który ulepsza współdziałanie zdarzeń dotyczących bezpieczeństwa między różnymi urządzeniami i aplikacjami sieciowymi i zabezpieczającymi. CEF umożliwia korzystanie z podstawowego formatu dziennika zdarzeń, co ułatwia integrowanie i gromadzenie danych do analizy przez system zarządzania korporacji. Zdarzenia CEF muszą używać kodowania UTF-8.

Automatyczne eksportowanie oznacza, że Kaspersky Security Center wysyła ogólne zdarzenia do systemu SIEM. Automatyczne eksportowanie zdarzeń rozpoczyna się od razu po włączeniu tej opcji. Ta sekcja szczegółowo wyjaśnia, jak włączyć automatyczne eksportowanie zdarzeń.

Zobacz również: Konfigurowanie eksportowania zdarzeń do systemów SIEM

Przejdź do góry