配置在 SIEM 系統中的事件匯出

從卡巴斯基安全管理中心 Linux 匯出事件到外部 SIEM 系統的處理程序設計兩部分：事件傳送者 — 卡巴斯基安全管理中心 Linux 和事件接收者 — SIEM 系統。您必須在您的 SIEM 系統和卡巴斯基安全管理中心 Linux 中設定事件匯出。

您在 SIEM 系統中指定的設定取決於您使用的系統。通常，對於所有 SIEM 系統，您必須設定接收器和訊息解析器（可選）以解析接收的事件。

設定接收器

為了接收卡巴斯基安全管理中心 Linux 傳送的事件，您必須在您的 SIEM 系統中設定接收器。通常，必須在 SIEM 系統指定以下設定：

• 匯出協定

  透過 TCP 的訊息傳輸通訊協定，UDP 或 TCP。該協定必須與您在卡巴斯基安全管理中心 Linux 中指定的協定相同。

• 連接埠

  指定連線到卡巴斯基安全管理中心 Linux 的連接埠號。此連接埠必須與您在配置 SIEM 系統期間在卡巴斯基安全管理中心 Linux 中指定的連接埠相同。

• 資料格式

  指定 Syslog 格式。

依據所使用的 SIEM 系統，您可能需要指定一些附加接收器設定。

下圖顯示 ArcSight 的接收器設定截圖。

ArcSight 的接收器設定

訊息解析器

匯出的事件作為訊息被傳遞到 SIEM 系統。這些訊息必須正確解析，以便事件資訊可以被 SIEM 系統使用。訊息解析器是 SIEM 系統的一部分，它們用於拆分訊息屬性到相關欄位，例如事件 ID、嚴重等級、敘述、參數。這將啟用 SIEM 系統以處理從 卡巴斯基安全管理中心 Linux 接收的事件，以便它們可以被儲存在 SIEM 系統資料庫。

另請參閱： 情境：設定事件匯出到 SIEM 系統

頁頂