關於事件匯出

卡巴斯基安全管理中心 Linux 允許您接收受管理裝置上安裝的管理伺服器和其他 Kaspersky 應用程式的操作事件資訊。事件資訊儲存在管理伺服器資料庫。

您可以將事件匯出用在處理組織和技術級別的安全問題的中心系統中,提供安全監控服務,以及從不同解決方案合併資訊。即是提供對網路硬體和應用程式生成的安全警告的即時分析的 SIEM 系統,或者安全操作中心 (SOCs)。

這些系統可以從許多來源接收資料,包括網路、安全、伺服器、資料庫和應用程式。SIEM 系統也提供功能以集成監控的資料,以便說明您避免遺失關鍵事件。而且,系統執行相關事件和警告的自動分析以通知管理員安全問題。警告可以透過儀表板實現,或可以透過協力廠商管道傳送,例如郵件。

從卡巴斯基安全管理中心匯出事件到外部 SIEM 系統的處理程序設計兩部分:事件傳送者,卡巴斯基安全管理中心和事件接收者,SIEM 系統。要成功匯出事件,您必須在您的 SIEM 系統和卡巴斯基安全管理中心 Linux 進行配置。您可以先設定任意一端。您可以設定在卡巴斯基安全管理中心 Linux 中的事件傳輸,然後設定 SIEM 系統對事件的接收,或者相反。

事件匯出的 Syslog 格式

您可以將 Syslog 格式的事件傳送到任何 SIEM 系統。使用 Syslog 格式,您可以轉發發生在管理伺服器上和受管理裝置上安裝的 Kaspersky 應用程式中的任意事件。當以 Syslog 格式匯出事件時,您可以精確選取轉發哪些事件種類到 SIEM 系統。

透過 SIEM 系統接收事件

SIEM 系統必須接收和正確解析來自卡巴斯基安全管理中心 Linux 的事件。因為這些目的,您必須正確設定 SIEM 系統。設定取決於特定的 SIEM 系統。然而,有一些設定所有 SIEM 系統的通用步驟,例如設定接收器和解析器。

頁頂