配置 Kaspersky Security Center 以导出事件到 SIEM 系统
扩展所有 | 折叠所有
您可以在 Kaspersky Security Center 中启用自动事件导出。
仅常规事件可以通过 CEF 和 LEEF 格式从受管理应用程序导出。应用程序特定事件不能通过 CEF 和 LEEF 格式从受管理应用程序导出。如果您需要导出受管理应用程序的事件或者使用受管理应用程序策略配置的自定义事件集合,则必须以 Syslog 格式导出事件。
要启用自动事件导出:
- 在 Kaspersky Security Center 控制台树,选择您要导出事件的管理服务器。
- 在所选管理服务器的工作区中,选择“事件”选项卡。
- 单击“配置通知和事件导出”链接旁边的下拉箭头,然后在下拉列表中选择“配置导出到 SIEM 系统”。
此时将打开事件属性窗口,显示“事件导出”区域。
- 在“事件导出”区域,指定以下导出设置:
事件属性窗口的事件导出区域
- 自动导出事件至 SIEM 系统数据库
选择此复选框以启用自动导出事件至 SIEM 系统。选择该复选框启用导出事件区域的所有字段。
- SIEM 系统
选择要导出事件的 SIEM 系统:QRadar®(LEEF 格式)、ArcSight(CEF 格式)、Splunk®(CEF 格式)和 Syslog 格式 (RFC 5424)。
- SIEM 系统服务器地址
指定 SIEM 系统服务器地址。地址可以被指定为 DNS 或 NetBIOS 名称或 IP 地址。
- SIEM 系统服务器端口
指定用于连接至 SIEM 系统服务器的端口号。该端口号必须和 SIEM 系统用于接收事件的端口相同(参见“配置 SIEM 系统”)。
- 协议
选择该协议用于传输消息到 SIEM 系统。您可以选择 TCP/IP、UDP 或 TLS over TCP 协议。
如果选择 TLS over TCP 协议,则指定以下 TLS 设置:
如果选择 Syslog 格式,则必须指定:
- 最大消息大小,字节
指定 SIEM 系统消息的最大大小。每个事件被一条消息转发。如果消息的精确长度超过指定值,消息被截断且数据可能丢失。默认大小是 2048 字节。如果您在“SIEM 系统”字段选择了 Syslog 格式,则该字段可用。
- 如果要将过去指定日期之后发生的事件导出到 SIEM 系统数据库,请单击“导出存档”按钮并指定事件导出的开始日期。默认下,事件导出在您启用后立即开始。
- 单击“确定”。
自动导出事件被启用。
在启用自动导出事件后,您必须选择将被导出到 SIEM 系统的事件。
页顶