從卡巴斯基安全管理中心雲端主控台匯出事件到外部 SIEM 系統的程序涉及兩個當事方:事件傳送方 (卡巴斯基安全管理中心雲端主控台) 以及事件接收方(SIEM 系統)。您必須在您的 SIEM 系統和卡巴斯基安全管理中心雲端主控台中為匯出事件進行設定。
您在 SIEM 系統中指定的設定取決於您使用的系統。通常,對於所有 SIEM 系統,您必須設定接收器和訊息解析器(可選)以解析接收的事件。
設定接收器
為了接收卡巴斯基安全管理中心雲端主控台傳送的事件,您必須在您的 SIEM 系統中設定接收器。通常,必須在 SIEM 系統指定以下設定:
指定連線到卡巴斯基安全管理中心雲端主控台時所用的連接埠號。此連接埠必須與您在卡巴斯基安全管理中心雲端主控台中設定 SIEM 系統時指定的連接埠相同。
指定 Syslog 格式。
依據所使用的 SIEM 系統,您可能需要指定一些附加接收器設定。
訊息接收器
匯出的事件作為訊息被傳遞到 SIEM 系統。這些訊息必須正確解析,以便事件資訊可以被 SIEM 系統使用。訊息解析器是 SIEM 系統的一部分,用於將訊息內容拆分到相關欄位,例如事件 ID、嚴重等級、描述、參數等等。這可讓 SIEM 系統處理從卡巴斯基安全管理中心雲端主控台收到的事件,以便儲存在 SIEM 系統資料庫中。