Ereignisse in das CEF- oder LEEF-Format konvertieren

Bevor Ereignisse aus Kaspersky Security Center an ein SIEM-System (QRadar, ArcSight oder Splunk) übertragen werden können, müssen diese Ereignisse in das CEF- oder LEEF-Format konvertiert werden. Dies geschieht unter Verwendung der Regeln, die in der Datei "siem_conversion_rules.xml" enthalten sind. Diese Datei ist im Lieferumfang von Kaspersky Security Center enthalten.

Die Datei "siem_conversion_rules.xml" enthält die vordefinierten Interpretationsregeln zum Konvertieren von Ereignissen in das CEF- und LEEF-Format. Wenn Sie zusätzliche Regeln für die Ereignisinterpretation verwenden möchten, können Sie diese der Datei manuell hinzufügen.

Die "siem_conversion_rules.xml" enthält die Abschnitte <product name="SP_QRADAR" vendor="IBM"> und <product name="SP_QRADAR" vendor="IBM">. Der Abschnitt <product name="SP_QRADAR" vendor="IBM"> enthält Regeln zum Erstellen von Ereignissen im LEEF-Format, die an ein SIEM-System von QRADAR exportiert werden können. Der Abschnitt <product name="SP_ARCSIGHT" vendor="HP"> enthält Regeln zum Erstellen von Ereignissen im CEF-Format, die an ein SIEM-System von ArcSight oder Splunk exportiert werden können.

Jeder Abschnitt besitzt den Unterabschnitt "<common>", in dem sich die Ereignisattribute von Kaspersky Security Center und deren entsprechenden Ereignisattribute im LEEF-Format befinden. Diese gemeinsamen Attribute werden für alle Arten von Ereignissen verwendet, die exportiert werden können.

Zusätzlich besitzt jeder Abschnitt den Unterabschnitt <events>. Jeder <event>-Unterabschnitt enthält weitere Attribute, die den Attributen des Abschnitts "<common>" hinzugefügt werden.

Sie können der Datei "siem_conversion_rules.xml" eine neue Regel zur Ereignisgenerierung manuell hinzufügen.

So fügen Sie eine neue Regel zur Ereignisgenerierung hinzu:

  1. Fügen Sie dem Abschnitt <product name="SP_QRADAR" vendor="IBM"> oder <product name="SP_QRADAR" vendor="IBM"> einen neuen <event>-Unterabschnitt hinzu und geben Sie bei Bedarf die weiteren Attribute an.
  2. Wenn ein Ereignis nur aus gemeinsamen Attributen besteht, bleibt der Unterabschnitt <event> leer.

siem_conversion_rules.xml

<conversion_rules>

<product name="SP_QRADAR" vendor="IBM">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND"> <!-- Generation rule for the GNRL_EV_VIRUS_FOUND event with additional attributes -->

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>

</param>

...

</event>

...

</product>

<product name="SP_ARCSIGHT" vendor="HP">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="dhost" type="AT_STRING" limit="1023"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND">

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="cs4" type="AT_STRING" limit="255"/>

<attr name="cs4Label" type="AT_STRING" val="SHA256"/>

</param>

...

</product>

</conversion_rules>

Nach oben