イベントのエクスポートは、組織および技術レベルでセキュリティ問題に対処し、セキュリティ監視サービスを提供し、各種ソリューションからの情報を統合できる、一元化されたシステム内で使用できます。これらは SIEM システムで、ネットワークのハードウェアとアプリケーション、またはセキュリティオペレーションセンター(SOC)によって生成されたセキュリティアラートとイベントをリアルタイムで分析します。
これらのシステムは、ネットワーク、セキュリティ、サーバー、データベース、アプリケーションなど多くのソースからのデータを受信します。SIEM システムは、重要なイベントを見逃すことがないように、監視対象データを統合する機能も提供します。さらに、緊急のセキュリティ問題を管理者に通知するために、相互に関連するイベントとアラートの分析を自動的に実行します。アラートはダッシュボードから発することも、メールなどのサードパーティのチャネルから送信することもできます。
Kaspersky Security Center から外部 SIEM システムにイベントをエクスポートするプロセスには、イベントの送信元である Kaspersky Security Center とイベントのレシーバである SIEM システムの 2 つが関係します。イベントを正常にエクスポートするには、SIEM システムと Kaspersky Security Center 管理コンソールの両方で設定する必要があります。どちらを先に設定してもかまいません。Kaspersky Security Center 管理コンソールからのイベントの送信を設定してから、SIEM システムによるイベントの受信を設定することも、逆の順序で設定することもできます。
Kaspersky Security Center からのイベントの送信方法
Kaspersky Security Center から外部システムにイベントを送信する方法は 3 つあります:
Syslog プロトコルを使用すると、Kaspersky Security Center 管理サーバーおよび管理対象デバイスにインストールされたカスペルスキー製品で発生したイベントはすべてリレーできます。Syslog プロトコルは、標準メッセージロギングプロトコルです。任意の SIEM システムへのイベントのエクスポートに使用可能です。
この目的のために、SIEM システムに転送するイベントをマークする必要があります。イベントは、管理コンソールまたは Kaspersky Security Center Web コンソールでマークできます。マークされたイベントのみが SIEM システムに転送されます。何もマークしなかった場合、イベントは転送されません。
CEF プロトコルと LEEF プロトコルを使用すると、一般イベントをエクスポートできます。CEF プロトコルと LEEF プロトコル経由でイベントをエクスポートする場合、エクスポートする特定のイベントを選択することはできません。代わりに、一般イベントがすべてエクスポートされます。Syslog プロトコルとは異なり、CEF プロトコルと LEEF プロトコルは汎用的なプロトコルではありません。CEF プロトコルと LEEF プロトコルは、対応する一部の SIEM システム(QRadar、Splunk、ArcSight)用です。そのため、これらの形式のいずれかを使用してイベントをエクスポートする場合は、必要なパーサーを SIEM システム内で使用します。
このイベントのエクスポート方法では、SQL クエリを使用して、データベースのパブリックビューから直接イベントを受信できます。クエリの結果は XML ファイルに保存されるため、外部システムへの入力データとして使用できます。パブリックビューにあるイベントだけをデータベースから直接エクスポートできます。
SIEM システムによるイベントの受信
SIEM システムは、Kaspersky Security Center からイベントを受信して適切に解析する必要があります。これらの目的に対応できるように、SIEM システムを適切に設定する必要があります。設定は、利用する具体的な SIEM システムによります。ただし、レシーバとパーサーの設定など、すべての SIEM システムの設定で一般的なステップがいくつかあります。