CEF 形式および LEEF 形式を使用したイベントのエクスポート

CEF プロトコルと LEEF プロトコルを使用すると、一般イベントおよびカスペルスキー製品から管理サーバーに送信されたイベントを SIEM システムにエクスポートできます。エクスポートするイベントのセットは事前定義されており、エクスポートするイベントを選択することはできません。イベントを SIEM システム（QRadar、ArcSight、または Splunk）に送信する前に、siem_conversion_rules.xml ファイルで指定されたルールを使用して、 Kaspersky Security Center イベントを CEF および LEEF 形式のイベントに変換する必要があります。

使用している SIEM システムを基にエクスポート形式を選択します。次の表は、SIEM システムおよび対応するエクスポート形式を示します。

SIEM システムへのイベントのエクスポートに使用する形式

SIEM システム	エクスポート形式
QRadar	LEEF
ArcSight	CEF
Splunk	CEF

LEEF（ログイベント拡張フォーマット） - IBM Security QRadar SIEM 用にカスタマイズされたイベント形式。QRadar は LEEF イベントを統合、識別、処理できます。LEEF イベントは UTF-8 文字コードを使用する必要があります。LEEF プロトコルの詳細については、IBM Knowledge Center を参照してください。
CEF（Common Event Format） - 様々なセキュリティとネットワークのデバイス、アプリケーションからのセキュリティ関連情報の相互運用性を改善するオープンログ管理標準。CEF により、共通のイベントログ形式を使用できるため、データを容易に統合して集約し、企業用管理システムで分析できます。CEF イベントは UTF-8 文字コードを使用する必要があります。

自動エクスポートを使用する場合、Kaspersky Security Center から SIEM システムに一般イベントが送信されます。イベントの自動エクスポートは、有効にすると即座に開始されます。このセクションでは、イベントの自動エクスポートを有効にする方法について詳細に説明します。