El proceso de exportación de eventos desde Kaspersky Security Center Linux a sistemas SIEM externos involucra a dos partes: un remitente de eventos (Kaspersky Security Center Linux) y un destinatario para los eventos (el sistema SIEM). Debe configurar la exportación de eventos en su sistema SIEM y en Kaspersky Security Center Linux.
Los ajustes que especifique en el sistema SIEM dependerán del sistema particular que esté utilizando. En general, para todo sistema SIEM, deberá configurar un receptor y, opcionalmente, un analizador que procese los eventos recibidos.
Configuración del receptor
Para recibir eventos enviados por Kaspersky Security Center Linux, debe configurar el destinatario en su sistema SIEM. Por lo general, deberá especificar los valores de los siguientes parámetros dentro del sistema SIEM:
Un protocolo de transferencia de mensajes, ya sea UDP, TCP o TLS sobre TCP. Este protocolo debe ser igual que el protocolo que especificó en Kaspersky Security Center Linux.
Especifique el número de puerto utilizado para conectarse a Kaspersky Security Center Linux. Este puerto debe ser el mismo que el puerto que especifica en Kaspersky Security Center Linux durante la configuración con un sistema SIEM.
Elija el formato Syslog.
Según el sistema SIEM que utilice, debería especificar algunas configuraciones adicionales del destinatario.
La figura siguiente muestra la pantalla de configuración del destinatario en ArcSight.
Configuración del destinatario en ArcSight
Analizador sintáctico de mensajes
Los eventos exportados se transfieren al sistema SIEM en forma de mensajes. Estos mensajes deben analizarse; de lo contrario, el sistema SIEM no puede hacer uso de la información de los eventos. Los analizadores sintácticos de mensajes son parte del sistema SIEM; se usan para separar los contenidos del mensaje en los campos relevantes; por ejemplo, ID del evento, gravedad, descripción y parámetros. Esto permite al sistema SIEM procesar eventos recibidos de Kaspersky Security Center Linux, de modo que se puedan almacenar en la base de datos del sistema SIEM.