Настройка Kaspersky Security Center для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Вы можете включить автоматический экспорт событий в Kaspersky Security Center.

Только общие события могут быть экспортированы от управляемых приложений в форматах CEF и LEEF. Правила интерпретации, используемые для конвертации событий в форматы CEF и LEEF, задаются в файле siem_conversion_rules.xml, который входит в комплект поставки Kaspersky Security Center.  Специфические события приложений не могут быть экспортированы от управляемых приложений в форматах CEF и LEEF. Если необходимо экспортировать события управляемых приложений или пользовательский набор событий, который настроен с помощью политик управляемых приложений, используйте экспорт событий в формате Syslog.

Чтобы включить автоматический экспорт общих событий:

  1. В дереве консоли Kaspersky Security Center выберите узел с именем Сервера администрирования, события которого необходимо экспортировать.
  2. В рабочей области выбранного Сервера администрирования перейдите на вкладку События.
  3. Нажмите на стрелку рядом со ссылкой Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите пункт Настроить экспорт в SIEM-систему.

    Откроется окно свойств событий на разделе Экспорт событий.

  4. В разделе Экспорт событий укажите следующие параметры экспорта:

    В разделе Экспорт событий указаны параметры экспорта.

    Раздел Экспорт событий окна свойств событий

    • Автоматически экспортировать события в базу SIEM-системы
    • SIEM-система

      Если вы выбрали формат Syslog, вам нужно указать:

      Максимальный размер сообщения в байтах

    • Адрес сервера SIEM-системы
    • Порт сервера SIEM-системы
    • Протокол
  5. Если требуется выполнить экспорт в SIEM-систему событий, произошедших после определенной даты в прошлом, нажмите на кнопку Экспортировать архив и укажите дату, начиная с которой будет выполнен экспорт событий. По умолчанию экспорт событий начинается сразу после включения.
  6. Чтобы убедиться, что соединение с SIEM-системой настроено, нажмите на кнопку Проверить соединение.

    Приложение пытается установить соединение с сервером SIEM-системы и отправить тестовое событие. Если подключение не установлено, отобразится сообщение об ошибке. Если подключение установлено, никакое сообщение не отображается. При необходимости вы можете просмотреть тестовое событие на вкладке События.

  7. Нажмите на кнопку ОК.

Автоматический экспорт событий включен.

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться в SIEM-систему.

См. также:

Настройка экспорта событий в SIEM-системы

Выбор событий для экспорта в SIEM-системы в формате Syslog

В начало