配置 Kaspersky Security Center 以导出事件到 SIEM 系统

扩展所有 | 折叠所有

您可以在 Kaspersky Security Center 中启用自动事件导出。

常规事件可以通过 CEF 和 LEEF 格式从受管理应用程序导出。用于将事件转换为 CEF 和 LEEF 格式的解释规则在 Kaspersky Security Center 分发套件中包含的siem_conversion_rules.xml文件中指定。应用程序特定事件不能通过 CEF 和 LEEF 格式从受管理应用程序导出。如果您需要导出受管理应用程序的事件或者使用受管理应用程序策略配置的自定义事件集合,则必须以 Syslog 格式导出事件。

要启用自动事件导出:

  1. 在 Kaspersky Security Center 控制台树,选择您要导出事件的管理服务器。
  2. 在所选管理服务器的工作区中,选择“事件”选项卡。
  3. 单击“配置通知和事件导出”链接旁边的下拉箭头,然后在下拉列表中选择“配置导出到 SIEM 系统”。

    此时将打开事件属性窗口,显示“事件导出”区域。

  4. 在“事件导出”区域,指定以下导出设置:

    在事件导出部分中,导出设置已指定。

    事件属性窗口的事件导出区域

    • 自动导出事件至 SIEM 系统数据库
    • SIEM 系统

      如果选择 Syslog 格式,则必须指定:

      最大消息大小,字节

    • SIEM 系统服务器地址
    • SIEM 系统服务器端口
    • 协议
  5. 如果要将过去指定日期之后发生的事件导出到 SIEM 系统数据库,请单击“导出存档”按钮,然后指定事件导出的开始日期。默认下,事件导出在您启用后立即开始。
  6. 要检查 SIEM 系统连接是否已配置,请单击测试设置按钮。

    应用程序尝试建立与 SIEM 系统的连接并发送测试事件。连接状态已显示。

  7. 单击“确定”。

自动导出事件被启用。

在启用自动导出事件后,您必须选择将被导出到 SIEM 系统的事件。

另请参阅:

配置导出事件到 SIEM 系统

标记要以 Syslog 格式导出到 SIEM 系统的事件

页顶