Informacje o konfigurowaniu eksportowania zdarzeń w systemie SIEM
Proces eksportowania zdarzeń z Kaspersky Security Center Linux do zewnętrznych systemów SIEM składa się na dwie części: nadawca zdarzenia – Kaspersky Security Center Linux oraz odbiorca zdarzenia – system SIEM. Należy skonfigurować eksportowanie zdarzeń w posiadanym systemie SIEM i w Kaspersky Security Center Linux.
Ustawienia określane w systemie SIEM zależą od określonego systemu, którego używasz. Zazwyczaj dla wszystkich systemów SIEM należy skonfigurować odbiorcę i, opcjonalnie, analizatora wiadomości do analizowania otrzymanych zdarzeń.
Konfigurowanie odbiorcy
Aby otrzymywać zdarzenia wysyłane przez Kaspersky Security Center Linux, należy skonfigurować odbiorcę w swoim systemie SIEM. W systemie SIEM powinny zostać określone następujące ustawienia:
- Protokół eksportu
Protokół przesyłania komunikatów, UDP, TCP lub TLS, przez TCP. Ten protokół musi być taki sam, jak protokół, który określono w Kaspersky Security Center Linux.
- Port
Określ numer portu do nawiązana połączenia z Kaspersky Security Center Linux. Ten port musi być taki sam, jak port określony w Kaspersky Security Center Linux podczas konfiguracji z systemem SIEM.
- Format danych
Określ format Syslog.
W zależności od używanego systemu SIEM, konieczne może być określenie niektórych dodatkowych ustawień odbiorcy.
Poniższy rysunek przedstawia okno konfiguracji odbiorcy w ArcSight.
Konfiguracja odbiorcy w ArcSight
Analizator wiadomości
Wyeksportowane zdarzenia są przekazywane do systemu SIEM jako wiadomości. Te wiadomości muszą być odpowiednio przeanalizowane, aby informacje na temat zdarzeń mogły być użyte przez system SIEM. Analizatory wiadomości są częścią systemu SIEM; są używane do podzielenia zawartości wiadomości na odpowiednie pola, takie jak: identyfikator zdarzenia, priorytet, opis, parametry itd. Umożliwia to systemowi SIEM przetworzenie zdarzeń otrzymanych z Kaspersky Security Center Linux tak, aby mogły być przechowywane w bazie danych systemu SIEM.