O processo de exportar eventos do Kaspersky Security Center Cloud Console para sistemas SIEM externos envolve duas partes: um remetente de evento (Kaspersky Security Center Cloud Console) e um receptor do evento (sistema SIEM). Você deve configurar a exportação de eventos no seu sistema SIEM e no Kaspersky Security Center Cloud Console.
As configurações especificadas no sistema SIEM dependem de qual sistema que você estiver usando. Normalmente, para todos os sistemas SIEM você deve definir um receptor e, opcionalmente, um analisador de mensagem para analisar os eventos recebidos.
Configurar o receptor
Para poder receber eventos enviados pelo Kaspersky Security Center Cloud Console, configure o receptor no seu sistema SIEM. Em geral, as seguintes configurações devem ser especificadas no sistema SIEM:
Especifique o número da porta para se conectar ao Kaspersky Security Center Cloud Console. Esta porta deve ser a mesma especificada no Kaspersky Security Center Cloud Console durante a configuração com um sistema SIEM.
Especifique o formato Syslog.
Dependendo do sistema SIEM usado, você deverá ter que especificar algumas configurações adicionais de receptor.
Analisadores de mensagem
Os eventos exportados são passados aos sistemas SIEM como mensagens. Estas mensagens devem ser apropriadamente analisadas para que as informações nos eventos possam ser usadas pelo sistema SIEM. Os analisadores de mensagem são uma parte do sistema SIEM e são usados para dividir o conteúdo da mensagem em campos relevantes, tal como ID do evento, gravidade, descrição, parâmetros e assim por diante. Isto ativa o sistema SIEM para processar eventos recebidos do Kaspersky Security Center Cloud Console para que eles possam ser armazenados no banco de dados do sistema SIEM.