À propos de la configuration de l'exportation d'événements dans le système SIEM

La procédure d'exportation des événements de Kaspersky Security Center Linux vers les systèmes SIEM fait intervenir deux parties : l'expéditeur des événements (Kaspersky Security Center Linux), et le destinataire de ceux-ci (le système SIEM). Vous devez configurer l'exportation dans votre système SIEM et dans Kaspersky Security Center Linux.

Les configurations réalisées du système SIEM dépendent du système que vous utilisez. Quoi qu'il en soit, il faut configurer le récepteur des messages pour tous les systèmes SIEM et, le cas échéant, l'analyseur des messages afin de pouvoir décomposer les messages reçus en champs.

Configuration du récepteur des messages

Pour le système SIEM, il faut configurer le récepteur des événements envoyés par Kaspersky Security Center Linux. En général, il faut définir les paramètres suivants dans le système SIEM :

Protocole d'exportation
Un protocole de transfert de messages, UDP, TCP ou TLS, sur TCP. Il est nécessaire d'indiquer le même protocole que celui qui a été choisi dans Kaspersky Security Center Linux pour envoyer les événements.
Port
Indiquez le numéro de port pour vous connecter à Kaspersky Security Center Linux. Il est nécessaire d'indiquer le même numéro de port que celui qui a été choisi dans Kaspersky Security Center Linux lors de la configuration avec un système SIEM.
Format de données
Spécifiez le format Syslog.

En fonction du système SIEM utilisé, vous devrez peut-être définir des paramètres avancés pour le récepteur de messages.

La figure ci-dessous représente la configuration d'un récepteur dans ArcSight.

Dans ArcSight, l'écran de configuration du récepteur se trouve sous l'onglet Configuration. Les paramètres du récepteur sont définis comme suit : le nom du récepteur est tcp cef, la propriété IP/Host est All, le Port est 616, l'Encoding est UTF-8, le Source Type est CEF.

Configuration du récepteur dans ArcSight

Analyseur des messages

Les événements exportés sont transmis au systèmes SIEM sous la forme de messages. Ces messages sont ensuite soumis à l'analyseur afin que les informations relatives aux événements soient transmises correctement au système SIEM. L'analyseur des messages est inséré au système SIEM il permet de décomposer le message en ses champs comme l'identifiant du message, le niveau d'importance, la description et d'autres paramètres. Le système SIEM peut ainsi traiter les événements envoyés par Kaspersky Security Center Linux afin qu'ils soient enregistrés dans la base de données du système SIEM.

Voir également :

Scénario : configuration de l'export d'événements vers des systèmes SIEM

Haut de page