イベントを SIEM システム(QRadar、ArcSight、または Splunk)に送信する前に、siem_conversion_rules.xml ファイルで指定されたルールを使用して、 Kaspersky Security Center イベントを CEF および LEEF 形式のイベントに変換する必要があります。このファイルは、Kaspersky Security Center の配布キットに含まれています。
siem_conversion_rules.xml ファイルには、イベントを CEF および LEEF 形式に変換するための定義済みの解釈ルールが含まれています。追加のイベント解釈ルールを使用する場合は、手動でファイルに追加できます。
siem_conversion_rules.xml ファイルには、<product name="SP_QRADAR" vendor="IBM">
セクションと <product name="SP_QRADAR" vendor="IBM">
セクションが含まれています。<product name="SP_QRADAR" vendor="IBM">
セクションには、QRadar SIEM システムにエクスポートできる LEEF 形式のイベントを生成するためのルールが含まれています。<product name="SP_ARCSIGHT" vendor="HP">
セクションには、ArcSight または Splunk SIEM システムにエクスポートできる CEF 形式のイベントを生成するためのルールが含まれています。
各セクションには <common> サブセクションには、Kaspersky Security Center イベント属性と、LEEF 形式のイベントの対応する属性が配置されています。これらの共通属性は、エクスポート可能なすべてのタイプのイベントに使用されます。
また、各セクションには <event>
サブセクションがあります。各 <event>
サブセクションには、<common> セクションのリストに追加される属性が含まれています。
新しいイベント生成ルールを siem_conversion_rules.xml ファイルに手動で追加できます。
新しいイベント生成ルールを追加するには:
<event>
サブセクションを <product name="SP_QRADAR" vendor="IBM">
または <product name="SP_QRADAR" vendor="IBM">
セクションに追加し、必要に応じて追加のイベント属性を指定します。<イベント>
サブセクションは空になります。siem_conversion_rules.xml
<conversion_rules>
<product name="SP_QRADAR" vendor="IBM">
<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>
</param>
...
[Common]
<event id="GNRL_EV_VIRUS_FOUND"> <!-- Generation rule for the GNRL_EV_VIRUS_FOUND event with additional attributes -->
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>
</param>
...
</event>
...
</product>
<product name="SP_ARCSIGHT" vendor="HP">
<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="dhost" type="AT_STRING" limit="1023"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND">
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="cs4" type="AT_STRING" limit="255"/>
<attr name="cs4Label" type="AT_STRING" val="SHA256"/>
</param>
...
</product>
</conversion_rules>
ページのトップに戻る