Über den Ereignisexport

Sie können den Ereignisexport innerhalb zentralisierten Systemen verwenden, die sich mit Fragen der Sicherheit auf organisatorischer und technischer Ebene und der Überwachung des Sicherheitssystems beschäftigen sowie Daten aus verschiedenen Lösungen konsolidieren. Dazu gehören SIEM-Systeme, die eine Analyse der Warnungen der Sicherheitssysteme und Ereignisse der Netzwerkhardware und Apps im Echtzeitbetrieb gewährleisten, sowie Security Operation Center (SOC).

Diese Systeme erhalten Daten aus vielen Quellen, einschließlich Netzwerke, Sicherheitssysteme, Server, Datenbanken und Apps. Ferner gewährleisten SIEM-Systeme eine Zusammenfassung der bearbeiteten Daten, damit Sie keine kritischen Ereignisse überspringen können. Außerdem führen diese Systeme eine automatische Analyse der verbundenen Ereignisse und der Alarme zur Benachrichtigung der Administratoren über Fragen des Sicherheitssystems, die eine sofortige Entscheidung fordern, durch. Die Benachrichtigungen können im Indikatorbereich angezeigt oder über dritte Kanäle, beispielsweise E-Mail, versendet werden.

Am Ablauf des Ereignisexports aus Kaspersky Security Center Cloud Console in die externen SIEM-Systeme sind zwei Seiten beteiligt: der Absender der Ereignisse – Kaspersky Security Center Cloud Console – und der Empfänger der Ereignisse – ein SIEM-System. Für einen erfolgreichen Ereignisexport müssen die Einstellungen sowohl im verwendeten SIEM-System als auch in der Kaspersky Security Center Cloud Console angepasst werden. Die Reihenfolge der Einstellungen hat keine Bedeutung: Sie können entweder zuerst den Versand der Ereignisse in der Kaspersky Security Center Cloud Console und dann das Empfangen der Ereignisse im SIEM-System anpassen, oder umgekehrt.

Syslog-Format des Ereignisexports

Sie können Ereignisse im Syslog-Format an ein beliebiges SIEM-System senden. Mittels Syslog-Format können Sie alle Ereignisse weiterleiten, die auf dem Administrationsserver und in den Kaspersky-Programmen, die auf den verwalteten Geräten installiert sind, auftreten. Beim Ereignisexport mittels dem Syslog-Format können Sie auswählen, welche Ereignisse ins SIEM-System übertragen werden sollen.

Empfangen von Ereignissen im SIEM-System

Das SIEM-System muss die von Kaspersky Security Center Cloud Console übertragenen Ereignisse korrekt übernehmen und analysieren. Dazu müssen die Einstellungen des SIEM-Systems angepasst werden. Die Konfiguration hängt vom verwendeten speziellen SIEM-System ab. Es gibt jedoch eine Anzahl von allgemeinen Schritten in der Konfiguration aller SIEM-Systeme, etwa die Konfiguration des Empfängers und des Parsers.

Nach oben