將事件轉換為 CEF 或 LEEF 格式

在將事件傳送到 SIEM 系統(QRadar、ArcSight 或 Splunk)之前,需要使用 siem_conversion_rules.xml 檔案中指定的規則將卡巴斯基安全管理中心事件解釋為 CEF 和 LEEF 格式的事件。該檔案包含在卡巴斯基安全管理中心分發套件中。

siem_conversion_rules.xml 檔案包含將事件轉換為 CEF 和 LEEF 格式的預先定義容器解釋規則。如果想使用額外的事件解釋規則,您可以手動將它們新增至檔案。

siem_conversion_rules.xml 檔案包含<product name="SP_QRADAR" vendor="IBM"><product name="SP_QRADAR" vendor="IBM">部分。<product name="SP_QRADAR" vendor="IBM">部分包含用於產生 LEEF 格式事件的規則,可以匯出到 QRadar SIEM 系統。<product name="SP_ARCSIGHT" vendor="HP">部分包含用於產生 CEF 格式事件的規則,可以匯出到 ArcSight 或 Splunk SIEM 系統。

每個部分都有<common>子部分,卡巴斯基安全管理中心事件屬性以及 LEEF 格式事件的相應屬性位於其中。這些通用屬性用於所有可以匯出的事件類型。

此外,每個部分都有<event>子部分。每個<event>子部分包含被新增到<common>部分中列出的屬性中的其他屬性。

您可以手動將新的事件產生規則新增至 siem_conversion_rules.xml 檔案。

若要新增新的事件產生規則:

  1. 將新的<event>子部分新增到<product name="SP_QRADAR" vendor="IBM"><product name="SP_QRADAR" vendor="IBM">部分,然後指定其他事件屬性(如果需要)。
  2. 如果事件僅由通用屬性組成,<event>子部分將為空。

siem_conversion_rules.xml

<conversion_rules>

<product name="SP_QRADAR" vendor="IBM">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND"> <!-- 帶有額外屬性的 GNRL_EV_VIRUS_FOUND 事件的產生規則 -->

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>

</param>

...

</event>

...

</product>

<product name="SP_ARCSIGHT" vendor="HP">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="dhost" type="AT_STRING" limit="1023"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND">

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="cs4" type="AT_STRING" limit="255"/>

<attr name="cs4Label" type="AT_STRING" val="SHA256"/>

</param>

...

</product>

</conversion_rules>

頁頂