Über das Konfigurieren des Ereignisexports in ein SIEM-System

Am Ablauf des Ereignisexports aus Kaspersky Security Center Linux in externe SIEM-Systeme sind zwei Seiten beteiligt: der Absender der Ereignisse (Kaspersky Security Center Linux) und der Empfänger der Ereignisse (ein SIEM-System). Sie müssen den Ereignisexport im verwendeten SIEM-System und in Kaspersky Security Center Linux anpassen.

Die Einstellungen, die im SIEM-System vorgenommen werden, sind vom System abhängig, das Sie verwenden. Im Allgemeinen müssen für alle SIEM-Systeme der Empfänger der Nachrichten und, falls erforderlich, der Nachrichtenparser angepasst werden, damit die erhaltenen Nachrichten auf die Felder verteilt werden können.

Einstellungen des Empfängers der Nachrichten

Für das SIEM-Systems muss der Empfänger für den Erhalt der Ereignisse, die von Kaspersky Security Center Linux gesendet werden, angepasst werden. Im Allgemeinen müssen im SIEM-System die folgenden Einstellungen angegeben werden:

Exportprotokoll
Ein Protokoll zum Übertragen von Nachrichten, entweder UDP, TCP oder TLS over TCP. Es muss dasselbe Protokoll angegeben werden wie in Kaspersky Security Center Linux.
Port
Geben Sie die Portnummer für die Verbindung mit Kaspersky Security Center Linux an. Dieser Port muss derselbe sein wie der Port, den Sie in Kaspersky Security Center Linux bei der Konfiguration für das SIEM-System angeben.
Datenformat
Geben Sie das Syslog-Format an.

Je nachdem, welches SIEM-System Sie verwendetem, kann es erforderlich sein, erweiterte Einstellungen für den Empfänger der Nachrichten anzugeben.

Auf der unteren Abbildung dienen die Einstellungen des Empfängers in ArcSight als Beispiel.

In ArcSight befinden sich die Einstellungen des Empfängers auf der Registerkarte "Konfiguration". Die Empfängereinstellungen werden wie folgt angegeben: Der Empfängername ist "tcp cef", die IP/Host-Parameter ist "All", der Port ist "616", die Kodierung ist "UTF-8", der Quelltyp ist "CEF".

Einstellungen des Empfängers in ArcSight

Nachrichtenparser

Die exportierten Ereignisse werden in Form von Nachrichten an das SIEM-System übergeben. Dann wird für diese Nachrichten der Parser verwendet, damit die Informationen über die Ereignisse entsprechend ins SIEM-System übergeben werden. Die Nachrichtenparser sind im SIEM-System integriert und werden für die Aufteilung der Nachrichten in Felder wie Nachrichten-ID, Signifikanz, Beschreibung und Parameter verwendet. Dadurch hat das SIEM-System die Möglichkeit, die Ereignisse, die aus Kaspersky Security Center Linux empfangen werden, so zu verarbeiten, dass sie in der Datenbank des SIEM-Systems gespeichert werden.

Siehe auch:

Szenario: Ereignisexport in SIEM-Systeme konfigurieren

Nach oben