Antes de enviar eventos al sistema SIEM (QRadar, ArcSight o Splunk), es necesario interpretar los eventos de Kaspersky Security Center en eventos en formato CEF y LEEF utilizando las reglas especificadas en el archivo siem_conversion_rules.xml. Este archivo está incluido en el kit de distribución de Kaspersky Security Center.
El archivo siem_conversion_rules.xml contiene las reglas de interpretación predefinidas para convertir eventos al formato CEF y LEEF. Si desea utilizar reglas de interpretación de eventos adicionales, puede agregarlas al archivo manualmente.
El archivo siem_conversion_rules.xml incluye las secciones <product name="SP_QRADAR" vendor="IBM"> y <product name="SP_QRADAR" vendor="IBM">. La sección <product name="SP_QRADAR" vendor="IBM">contiene reglas para generar eventos en formato LEEF, que se pueden exportar al sistema SIEM de QRadar. La sección <product name="SP_ARCSIGHT" vendor="HP">contiene reglas para generar eventos en formato CEF, que se pueden exportar al sistema SIEM de QRadar.
Cada sección tiene la subsección <common> donde se encuentran los atributos de eventos de Kaspersky Security Center y los atributos correspondientes de los eventos en formato LEEF. Estos atributos comunes se utilizan para todos los tipos de eventos que se pueden exportar.
Además, cada sección tiene las subsecciones <event>. Cada subsección <event> contiene atributos adicionales que se agregan a los enumerados en la sección <common>.
Puede agregar una nueva regla de generación de eventos al archivo siem_conversion_rules.xml manualmente.
Para agregar una nueva regla de generación de eventos:
<event> a la sección <product name="SP_QRADAR" vendor="IBM"> o <product name="SP_QRADAR" vendor="IBM">y, a continuación, especifique los atributos de evento adicionales, si es necesario.<event> estará vacía.siem_conversion_rules.xml
<conversion_rules>
<product name="SP_QRADAR" vendor="IBM">
<common> <!-- Atributos de eventos comunes de Kaspersky Security Center y atributos de eventos LEEF correspondientes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND"> <!-- Regla de generación para el evento GNRL_EV_VIRUS_FOUND con atributos adicionales -->
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>
</param>
...
</event>
...
</product>
<product name="SP_ARCSIGHT" vendor="HP">
<common> <!-- Atributos de eventos comunes de Kaspersky Security Center y atributos de eventos LEEF correspondientes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="dhost" type="AT_STRING" limit="1023"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND">
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="cs4" type="AT_STRING" limit="255"/>
<attr name="cs4Label" type="AT_STRING" val="SHA256"/>
</param>
...
</product>
</conversion_rules>
Principio de la página