Configuration de l'export d'événements dans le système SIEM

La procédure d'exportation des événements de Kaspersky Security Center Cloud Console vers les systèmes SIEM fait intervenir deux parties : l'expéditeur des événements (Kaspersky Security Center Cloud Console), et le destinataire de ceux-ci (le système SIEM). Il est nécessaire de configurer l'exportation dans le système SIEM utilisé et dans Kaspersky Security Center Cloud Console.

Les configurations réalisées du système SIEM dépendent du système que vous utilisez. Quoi qu'il en soit, il faut configurer le récepteur des messages pour tous les systèmes SIEM et, le cas échéant, l'analyseur des messages afin de pouvoir décomposer les messages reçus en champs.

Configuration du récepteur des messages

Pour le système SIEM, il faut configurer le récepteur des événements envoyés par Kaspersky Security Center Cloud Console. En général, il faut définir les paramètres suivants dans le système SIEM :

En fonction du système SIEM utilisé, vous devrez peut-être définir des paramètres avancés pour le récepteur de messages.

Analyseur des messages

Les événements exportés sont transmis au systèmes SIEM sous la forme de messages. Ces messages sont ensuite soumis à l'analyseur afin que les informations relatives aux événements soient transmises correctement au système SIEM. L'analyseur des messages est inséré au système SIEM il permet de décomposer le message en ses champs comme l'identifiant du message, le niveau d'importance, la description et d'autres paramètres. Le système SIEM peut ainsi traiter les événements envoyés par Kaspersky Security Center Cloud Console afin qu'ils soient enregistrés dans la base de données du système SIEM.

Chaque système SIEM possède une sélection d'analyseurs de messages standard. Kaspersky propose également des analyseurs de messages pour certains systèmes SIEM, par exemple pour QRadar et ArcSight. Vous pouvez charger ces analyseurs de messages depuis les pages Web des systèmes SIEM correspondants. Lors de la configuration du récepteur, il faut choisir l'analyseur de messages à utiliser : un des analyseurs standard de votre système SIEM ou l'analyseur proposé par Kaspersky.

Voir également :

Scénario : configuration de l'export d'événements vers des systèmes SIEM

Haut de page