从 Kaspersky Security Center 云控制台导出事件到外部 SIEM 系统的进程设计两部分:事件发送者,Kaspersky Security Center 云控制台和事件接收者,SIEM 系统。你必须在您的 SIEM 系统和 Kaspersky Security Center 云控制台管理控制台中配置事件导出。
您在 SIEM 系统中指定的设置取决于您使用的系统。通常,对于所有 SIEM 系统,您必须设置接收器和消息解析器(可选)以解析接收的事件。
设置接收器
为了接收 Kaspersky Security Center 云控制台发送的事件,您必须在您的 SIEM 系统中设置接收器。通常,必须在 SIEM 系统指定以下设置:
指定用于连接到 Kaspersky Security Center 云控制台的端口号。该端口必须与您在配置 SIEM 系统期间在 Kaspersky Security Center 云控制台中指定的端口相同。
指定 Syslog 格式。
根据所使用的 SIEM 系统,您可能需要指定一些附加接收器设置。
消息接收器
导出的事件作为消息被传递到 SIEM 系统。这些消息必须正确解析,以便事件信息可以被 SIEM 系统使用。消息解析器是 SIEM 系统的一部分,它们用于拆分消息内容到相关字段,例如事件 ID、严重级别、描述、参数等等。这将启用 SIEM 系统以处理从 Kaspersky Security Center 云控制台接收的事件,以便它们可以被存储在 SIEM 系统数据库。