Am Ablauf des Ereignisexports aus Kaspersky Security Center Cloud Console in die externen SIEM-Systeme sind zwei Seiten beteiligt: der Absender der Ereignisse – Kaspersky Security Center Cloud Console – und der Empfänger der Ereignisse – ein SIEM-System. Der Ereignisexport wird im verwendeten SIEM-System und in der Kaspersky Security Center Cloud Console angepasst.
Die Einstellungen, die im SIEM-System vorgenommen werden, sind vom System abhängig, das Sie verwenden. Im Allgemeinen müssen für alle SIEM-Systeme der Empfänger der Nachrichten und, falls erforderlich, der Nachrichtenparser angepasst werden, damit die erhaltenen Nachrichten auf die Felder verteilt werden können.
Einstellungen des Empfängers der Nachrichten
Für das SIEM-Systems muss der Empfänger für den Erhalt der Ereignisse, die von Kaspersky Security Center Cloud Console gesendet werden, angepasst werden. Im Allgemeinen müssen im SIEM-System die folgenden Einstellungen angegeben werden:
Geben Sie die Portnummer für die Verbindung mit Kaspersky Security Center Cloud Console an. Es muss derselbe Port angegeben werden, den Sie als Port in Kaspersky Security Center Cloud Console während der Konfiguration mit einem SIEM-System festlegen.
Geben Sie das Syslog-Format an.
Je nach verwendetem SIEM-System kann erforderlich sein, erweiterte Einstellungen für den Empfänger der Nachrichten anzugeben.
Nachrichtenparser
Die exportierten Ereignisse werden in Form von Nachrichten an das SIEM-System übergeben. Dann wird für diese Nachrichten der Parser verwendet, damit die Informationen über die Ereignisse entsprechend ins SIEM-System übergeben werden. Der Nachrichtenparser ist im SIEM-System integriert – er wird für die Aufteilung der Nachrichten in Felder, etwa Ereignis-ID, Signifikanz, Beschreibung und die übrigen Einstellungen verwendet. Daraufhin hat das SIEM-System die Möglichkeit, die Ereignisse, die aus Kaspersky Security Center Cloud Console empfangen werden, so zu verarbeiten, dass sie in der Datenbank des SIEM-Systems gespeichert werden.