イベントを CEF または LEEF 形式に変換する

イベントを SIEM システム(QRadar、ArcSight、または Splunk)に送信する前に、siem_conversion_rules.xml ファイルで指定されたルールを使用して、 Kaspersky Security Center イベントを CEF および LEEF 形式のイベントに変換する必要があります。このファイルは、Kaspersky Security Center の配布キットに含まれています。

siem_conversion_rules.xml ファイルには、イベントを CEF および LEEF 形式に変換するための定義済みの解釈ルールが含まれています。追加のイベント解釈ルールを使用する場合は、手動でファイルに追加できます。

siem_conversion_rules.xml ファイルには、<product name="SP_QRADAR" vendor="IBM"> セクションと <product name="SP_QRADAR" vendor="IBM"> セクションが含まれています。<product name="SP_QRADAR" vendor="IBM"> セクションには、QRadar SIEM システムにエクスポートできる LEEF 形式のイベントを生成するためのルールが含まれています。<product name="SP_ARCSIGHT" vendor="HP"> セクションには、ArcSight または Splunk SIEM システムにエクスポートできる CEF 形式のイベントを生成するためのルールが含まれています。

各セクションには <common> サブセクションには、Kaspersky Security Center イベント属性と、LEEF 形式のイベントの対応する属性が配置されています。これらの共通属性は、エクスポート可能なすべてのタイプのイベントに使用されます。

また、各セクションには <event> サブセクションがあります。各 <event> サブセクションには、<common> セクションのリストに追加される属性が含まれています。

新しいイベント生成ルールを siem_conversion_rules.xml ファイルに手動で追加できます。

新しいイベント生成ルールを追加するには:

  1. 新しい <event> サブセクションを <product name="SP_QRADAR" vendor="IBM"> または <product name="SP_QRADAR" vendor="IBM"> セクションに追加し、必要に応じて追加のイベント属性を指定します。
  2. イベントが共通属性のみで構成されている場合、<イベント> サブセクションは空になります。

siem_conversion_rules.xml

<conversion_rules>

<product name="SP_QRADAR" vendor="IBM">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>

</param>

...

[Common]

<event id="GNRL_EV_VIRUS_FOUND"> <!-- Generation rule for the GNRL_EV_VIRUS_FOUND event with additional attributes -->

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>

</param>

...

</event>

...

</product>

<product name="SP_ARCSIGHT" vendor="HP">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="dhost" type="AT_STRING" limit="1023"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND">

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="cs4" type="AT_STRING" limit="255"/>

<attr name="cs4Label" type="AT_STRING" val="SHA256"/>

</param>

...

</product>

</conversion_rules>

ページのトップに戻る