SIEM システムでのイベントのエクスポートの設定について
Kaspersky Security Center Linux から外部 SIEM システムにイベントをエクスポートするプロセスには、イベントの送信元である Kaspersky Security Center Linux とイベントのレシーバである SIEM システムの 2 つが関係します。イベントのエクスポートは、SIEM システムと Kaspersky Security Center Linux の両方で設定する必要があります。
SIEM システムで指定する設定は、使用している個々のシステムにより異なります。一般に、すべての SIEM システムでレシーバを設定する必要があり、受信イベントを解析するためのメッセージパーサーを任意で設定します。
レシーバの設定
Kaspersky Security Center Linux から送信されたイベントを受信するには、SIEM システムでレシーバを設定する必要があります。一般に、SIEM システムで次の設定を指定する必要があります:
- エクスポートプロトコル
メッセージ送信プロトコル(UDP、TCP、TLS over TCP)。このプロトコルは、Kaspersky Security Center Linux で指定したプロトコルと同じにする必要があります。
- ポート
Kaspersky Security Center Linux に接続するポート番号を指定します。このポートは SIEM システムの設定中に Kaspersky Security Center Linux で指定したポートと同じポートである必要があります。
- データ形式
Syslog 形式を指定します。
使用する SIEM システムによっては、受信者の設定を一部追加で指定する必要があります。
次の図は、ArcSight の受信者のセットアップ画面を示します。
![ArcSight で、レシーバのセットアップ画面は[Configuration]タブにあります。レシーバの設定は次のように指定します:レシーバ名は tcp cef、IP/ホスト プロパティは All、ポートは 616、エンコーディングは UTF-8、ソースタイプは CEF。](unloc_arcsight.png)
ArcSight でのレシーバのセットアップ
メッセージパーサー
エクスポートされたイベントはメッセージとして SIEM システムに渡されます。SIEM システムでイベントに関する情報が利用できるように、これらのメッセージを適切に解析する必要があります。メッセージパーサーは SIEM システムの一部です。イベントの ID、深刻度、説明、パラメータなど関連フィールドにメッセージの内容を分けるために使用します。メッセージの内容を分けることで、SIEM システムは Kaspersky Security Center Linux から受信したイベントを処理して、SIEM システムデータベースに保管することができます。