使用 CEF 和 LEEF 格式匯出事件

使用 CEF 和 LEEF 格式匯出事件

您可使用 CEF 和 LEEF 格式來將一般事件以及由 Kaspersky 應用程式傳輸至管理伺服器的事件匯出至 SIEM 系統。匯出事件集是預定義的，您無法選取要匯出的事件。在將事件傳送到 SIEM 系統（QRadar、ArcSight 或 Splunk）之前，需要使用siem_conversion_rules.xml 檔案中指定的規則將卡巴斯基安全管理中心事件解釋為 CEF 和 LEEF 格式的事件。

基於使用的 SIEM 系統選取匯出格式。下表顯示了 SIEM 系統和對應的匯出格式。

匯出事件到 SIEM 系統的格式

SIEM 系統	匯出格式
QRadar	LEEF
ArcSight	CEF
Splunk	CEF

LEEF（記錄事件延伸格式）是 IBM Security QRadar SIEM 的自訂事件格式。QRadar 可以整合、識別和處理 LEEF 事件。LEEF 事件必須使用 UTF-8 字元編碼。您可以在 IBM Knowledge Center 檢視 LEEF 協定的詳情。
CEF（通用事件格式）—開放式日誌管理標準，涉及來自不同的網路裝置和應用程式的安全資訊的協同工作。CEF 允許您使用通用日誌格式，因此資料可以被簡易整合以用企業管理系統分析。CEF 事件必須使用 UTF-8 字元編碼。

自動匯出意味著卡巴斯基安全管理中心傳送一般事件到 SIEM 系統。事件自動匯出在您啟用後立即開始。該部分詳細解釋了如何啟用自動事件匯出。

另請參閱：

設定事件匯出到 SIEM 系統

頁頂