Konwersja zdarzeń do formatu CEF lub LEEF

Przed wysłaniem zdarzeń do systemu SIEM (QRadar, ArcSight lub Splunk) konieczna jest interpretacja zdarzeń Kaspersky Security Center jako zdarzeń w formacie CEF i LEEF przy użyciu reguł określonych w pliku siem_conversion_rules.xml. To narzędzie znajduje się w pakiecie dystrybucyjnym Kaspersky Security Center.

Plik siem_conversion_rules.xml zawiera predefiniowane reguły interpretacji umożliwiające konwersję zdarzeń do formatu CEF i LEEF. Jeśli chcesz użyć dodatkowych reguł interpretacji zdarzeń, możesz dodać je do pliku ręcznie.

Plike siem_conversion_rules.xml zawiera sekcje <product name="SP_QRADAR" vendor="IBM"> i <product name="SP_QRADAR" vendor="IBM">. Sekcja <product name="SP_QRADAR" vendor="IBM"> zawiera reguły generowania zdarzeń w formacie LEEF, które można wyeksportować do systemu QRadar SIEM. Sekcja <product name="SP_ARCSIGHT" vendor="HP"> zawiera reguły generowania zdarzeń w formacie CEF, które można wyeksportować do systemu ArcSight lub Splunk SIEM.

Każda sekcja ma podsekcję <common>, w której znajdują się atrybuty zdarzeń Kaspersky Security Center i odpowiadające im atrybuty zdarzeń w formacie LEEF. Te wspólne atrybuty są używane dla wszystkich typów zdarzeń, które można eksportować.

Ponadto każda sekcja ma podsekcje <event>. Każda podsekcja <event> zawiera dodatkowe atrybuty, które są dodawane do tych wymienionych w sekcji <common>.

Możesz ręcznie dodać nową regułę generowania zdarzeń do pliku siem_conversion_rules.xml.

Aby dodać nową regułę generowania zdarzeń:

  1. Dodaj nową podsekcję <event> do sekcji <product name="SP_QRADAR" vendor="IBM"> lub <product name="SP_QRADAR" vendor="IBM"> a następnie określ dodatkowe atrybuty zdarzenia, jeśli to konieczne.
  2. Jeżeli zdarzenie składa się wyłącznie ze wspólnych atrybutów, podsekcja <event> będzie pusta.

siem_conversion_rules.xml

<conversion_rules>

<product name="SP_QRADAR" vendor="IBM">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND"> <!-- Reguła generowania dla zdarzeń GNRL_EV_VIRUS_FOUND z dodatkowymi atrybutami -->

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>

</param>

...

</event>

...

</product>

<product name="SP_ARCSIGHT" vendor="HP">

<common> <!-- Wspólne atrybuty zdarzeń Kaspersky Security Center i odpowiadające im atrybuty zdarzeń w formacie LEEF -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="dhost" type="AT_STRING" limit="1023"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND">

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="cs4" type="AT_STRING" limit="255"/>

<attr name="cs4Label" type="AT_STRING" val="SHA256"/>

</param>

...

</product>

</conversion_rules>

Przejdź do góry