配置在 SIEM 系统中的事件导出

从 Kaspersky Security Center 云控制台导出事件到外部 SIEM 系统的进程设计两部分:事件发送者,Kaspersky Security Center 云控制台和事件接收者,SIEM 系统。你必须在您的 SIEM 系统和 Kaspersky Security Center 云控制台管理控制台中配置事件导出。

您在 SIEM 系统中指定的设置取决于您使用的系统。通常,对于所有 SIEM 系统,您必须设置接收器和消息解析器(可选)以解析接收的事件。

设置接收器

为了接收 Kaspersky Security Center 云控制台发送的事件,您必须在您的 SIEM 系统中设置接收器。通常,必须在 SIEM 系统指定以下设置:

根据所使用的 SIEM 系统,您可能需要指定一些附加接收器设置。

消息接收器

导出的事件作为消息被传递到 SIEM 系统。这些消息必须正确解析,以便事件信息可以被 SIEM 系统使用。消息解析器是 SIEM 系统的一部分,它们用于拆分消息内容到相关字段,例如事件 ID、严重级别、描述、参数等等。这将启用 SIEM 系统以处理从 Kaspersky Security Center 云控制台接收的事件,以便它们可以被存储在 SIEM 系统数据库。

另请参阅:

方案:配置导出事件到 SIEM 系统

页顶