Den Ereignisexport in ein SIEM-System konfigurieren

Am Ablauf des Ereignisexports aus Kaspersky Security Center Cloud Console in die externen SIEM-Systeme sind zwei Seiten beteiligt: der Absender der Ereignisse – Kaspersky Security Center Cloud Console – und der Empfänger der Ereignisse – ein SIEM-System. Der Ereignisexport wird im verwendeten SIEM-System und in der Kaspersky Security Center Cloud Console angepasst.

Die Einstellungen, die im SIEM-System vorgenommen werden, sind vom System abhängig, das Sie verwenden. Im Allgemeinen müssen für alle SIEM-Systeme der Empfänger der Nachrichten und, falls erforderlich, der Nachrichtenparser angepasst werden, damit die erhaltenen Nachrichten auf die Felder verteilt werden können.

Einstellungen des Empfängers der Nachrichten

Für das SIEM-Systems muss der Empfänger für den Erhalt der Ereignisse, die von Kaspersky Security Center Cloud Console gesendet werden, angepasst werden. Im Allgemeinen müssen im SIEM-System die folgenden Einstellungen angegeben werden:

Je nach verwendetem SIEM-System kann erforderlich sein, erweiterte Einstellungen für den Empfänger der Nachrichten anzugeben.

Nachrichtenparser

Die exportierten Ereignisse werden in Form von Nachrichten an das SIEM-System übergeben. Dann wird für diese Nachrichten der Parser verwendet, damit die Informationen über die Ereignisse entsprechend ins SIEM-System übergeben werden. Der Nachrichtenparser ist im SIEM-System integriert – er wird für die Aufteilung der Nachrichten in Felder, etwa Ereignis-ID, Signifikanz, Beschreibung und die übrigen Einstellungen verwendet. Daraufhin hat das SIEM-System die Möglichkeit, die Ereignisse, die aus Kaspersky Security Center Cloud Console empfangen werden, so zu verarbeiten, dass sie in der Datenbank des SIEM-Systems gespeichert werden.

In jedem SIEM-System gibt es einen Satz von Standardparsern für Nachrichten. Kaspersky stellt für einige SIEM-Systeme, beispielsweise QRadar und ArcSight, ebenfalls Nachrichtenparser bereit. Sie können diese Nachrichtenparser von den Webseiten der entsprechenden SIEM-Systeme herunterladen. In den Einstellungen des Empfängers können Sie den verwendeten Nachrichtenparser auswählen: entweder den Standardparser oder den Parser, der von Kaspersky bereitgestellt wird.

Siehe auch:

Szenario: Den Ereignisexport in SIEM-Systeme konfigurieren

Nach oben