Antes de enviar eventos para o sistema SIEM (QRadar, ArcSight ou Splunk), é necessário interpretar os eventos do Kaspersky Security Center para eventos no formato CEF e LEEF com o uso das regras especificadas no arquivo siem_conversion_rules.xml. Esse arquivo está incluído no kit de distribuição do Kaspersky Security Center.
O arquivo siem_conversion_rules.xml contém as regras de interpretação predefinidas para converter eventos para o formato CEF e LEEF. Caso queira usar regras adicionais de interpretação de eventos, é possível adicioná-las manualmente ao arquivo.
O arquivo siem_conversion_rules.xml inclui as seções <product name="SP_QRADAR" vendor="IBM"> e <product name="SP_QRADAR" vendor="IBM">. A seção <product name="SP_QRADAR" vendor="IBM"> contém regras para gerar eventos no formato LEEF que podem ser exportados para o sistema QRadar SIEM. A seção <product name="SP_ARCSIGHT" vendor="HP"> contém regras para gerar eventos no formato CEF que podem ser exportados para o sistema ArcSight ou Splunk SIEM.
Cada seção tem a subseção <common> na qual estão localizados os atributos de eventos do Kaspersky Security Center e os atributos correspondentes de eventos no formato LEEF. Esses atributos comuns são usados para todos os tipos de eventos que podem ser exportados.
Além disso, cada seção tem subseções <event>. Cada subseção <event> contém atributos adicionais que são adicionados aos listados no seção <common>.
É possível adicionar manualmente uma nova regra de geração de eventos ao arquivo siem_conversion_rules.xml.
Para adicionar uma nova regra de geração de eventos:
<event> na seção <product name="SP_QRADAR" vendor="IBM"> ou <product name="SP_QRADAR" vendor="IBM"> e, em seguida, especifique os atributos de evento adicionais, caso necessário.<evento> estará vazia.siem_conversion_rules.xml
<conversion_rules>
<product name="SP_QRADAR" vendor="IBM">
<common> <!-- Atributos comuns de eventos do Kaspersky Security Center e atributos de eventos LEEF correspondentes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND"> <!-- Regra de geração para o evento GNRL_EV_VIRUS_FOUND com atributos adicionais -->
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>
</param>
...
</event>
...
</product>
<product name="SP_ARCSIGHT" vendor="HP">
<common> <!-- Atributos comuns de eventos do Kaspersky Security Center e atributos de eventos LEEF correspondentes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="dhost" type="AT_STRING" limit="1023"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND">
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="cs4" type="AT_STRING" limit="255"/>
<attr name="cs4Label" type="AT_STRING" val="SHA256"/>
</param>
...
</product>
</conversion_rules>
Topo da página