Conversão de eventos para o formato CEF ou LEEF

Antes de enviar eventos para o sistema SIEM (QRadar, ArcSight ou Splunk), é necessário interpretar os eventos do Kaspersky Security Center para eventos no formato CEF e LEEF com o uso das regras especificadas no arquivo siem_conversion_rules.xml. Esse arquivo está incluído no kit de distribuição do Kaspersky Security Center.

O arquivo siem_conversion_rules.xml contém as regras de interpretação predefinidas para converter eventos para o formato CEF e LEEF. Caso queira usar regras adicionais de interpretação de eventos, é possível adicioná-las manualmente ao arquivo.

O arquivo siem_conversion_rules.xml inclui as seções <product name="SP_QRADAR" vendor="IBM"> e <product name="SP_QRADAR" vendor="IBM">. A seção <product name="SP_QRADAR" vendor="IBM"> contém regras para gerar eventos no formato LEEF que podem ser exportados para o sistema QRadar SIEM. A seção <product name="SP_ARCSIGHT" vendor="HP"> contém regras para gerar eventos no formato CEF que podem ser exportados para o sistema ArcSight ou Splunk SIEM.

Cada seção tem a subseção <common> na qual estão localizados os atributos de eventos do Kaspersky Security Center e os atributos correspondentes de eventos no formato LEEF. Esses atributos comuns são usados para todos os tipos de eventos que podem ser exportados.

Além disso, cada seção tem subseções <event>. Cada subseção <event> contém atributos adicionais que são adicionados aos listados no seção <common>.

É possível adicionar manualmente uma nova regra de geração de eventos ao arquivo siem_conversion_rules.xml.

Para adicionar uma nova regra de geração de eventos:

  1. Adicionar uma nova subseção <event> na seção <product name="SP_QRADAR" vendor="IBM"> ou <product name="SP_QRADAR" vendor="IBM"> e, em seguida, especifique os atributos de evento adicionais, caso necessário.
  2. Caso um evento consista apenas em atributos comuns, a subseção <evento> estará vazia.

siem_conversion_rules.xml

<conversion_rules>

<product name="SP_QRADAR" vendor="IBM">

<common> <!-- Atributos comuns de eventos do Kaspersky Security Center e atributos de eventos LEEF correspondentes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND"> <!-- Regra de geração para o evento GNRL_EV_VIRUS_FOUND com atributos adicionais -->

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>

</param>

...

</event>

...

</product>

<product name="SP_ARCSIGHT" vendor="HP">

<common> <!-- Atributos comuns de eventos do Kaspersky Security Center e atributos de eventos LEEF correspondentes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="dhost" type="AT_STRING" limit="1023"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND">

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="cs4" type="AT_STRING" limit="255"/>

<attr name="cs4Label" type="AT_STRING" val="SHA256"/>

</param>

...

</product>

</conversion_rules>

Topo da página