Przed wysłaniem zdarzeń do systemu SIEM (QRadar, ArcSight lub Splunk) konieczna jest interpretacja zdarzeń Kaspersky Security Center jako zdarzeń w formacie CEF i LEEF przy użyciu reguł określonych w pliku siem_conversion_rules.xml. To narzędzie znajduje się w pakiecie dystrybucyjnym Kaspersky Security Center.
Plik siem_conversion_rules.xml zawiera predefiniowane reguły interpretacji umożliwiające konwersję zdarzeń do formatu CEF i LEEF. Jeśli chcesz użyć dodatkowych reguł interpretacji zdarzeń, możesz dodać je do pliku ręcznie.
Plike siem_conversion_rules.xml zawiera sekcje <product name="SP_QRADAR" vendor="IBM"> i <product name="SP_QRADAR" vendor="IBM">. Sekcja <product name="SP_QRADAR" vendor="IBM"> zawiera reguły generowania zdarzeń w formacie LEEF, które można wyeksportować do systemu QRadar SIEM. Sekcja <product name="SP_ARCSIGHT" vendor="HP"> zawiera reguły generowania zdarzeń w formacie CEF, które można wyeksportować do systemu ArcSight lub Splunk SIEM.
Każda sekcja ma podsekcję <common>, w której znajdują się atrybuty zdarzeń Kaspersky Security Center i odpowiadające im atrybuty zdarzeń w formacie LEEF. Te wspólne atrybuty są używane dla wszystkich typów zdarzeń, które można eksportować.
Ponadto każda sekcja ma podsekcje <event>. Każda podsekcja <event> zawiera dodatkowe atrybuty, które są dodawane do tych wymienionych w sekcji <common>.
Możesz ręcznie dodać nową regułę generowania zdarzeń do pliku siem_conversion_rules.xml.
Aby dodać nową regułę generowania zdarzeń:
<event> do sekcji <product name="SP_QRADAR" vendor="IBM"> lub <product name="SP_QRADAR" vendor="IBM"> a następnie określ dodatkowe atrybuty zdarzenia, jeśli to konieczne.<event> będzie pusta.siem_conversion_rules.xml
<conversion_rules>
<product name="SP_QRADAR" vendor="IBM">
<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND"> <!-- Reguła generowania dla zdarzeń GNRL_EV_VIRUS_FOUND z dodatkowymi atrybutami -->
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>
</param>
...
</event>
...
</product>
<product name="SP_ARCSIGHT" vendor="HP">
<common> <!-- Wspólne atrybuty zdarzeń Kaspersky Security Center i odpowiadające im atrybuty zdarzeń w formacie LEEF -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="dhost" type="AT_STRING" limit="1023"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND">
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="cs4" type="AT_STRING" limit="255"/>
<attr name="cs4Label" type="AT_STRING" val="SHA256"/>
</param>
...
</product>
</conversion_rules>
Przejdź do góry