Kaspersky Security Center Linux vous permet d'obtenir des informations sur les événements survenus pendant le fonctionnement du Serveur d'administration et des applications Kaspersky installées sur les appareils administrés. Les informations relatives aux événements sont conservées dans la base de données du Serveur d'administration.
L'exportation des événements peut être utilisée dans les systèmes centralisés qui traitent des questions de sécurité au niveau organisationnel et technique, qui surveillent les systèmes de sécurité et consolident les données issues de différentes solutions. Parmi ces système, il y a les systèmes SIEM qui garantissent l'analyse des alertes des systèmes de sécurité et des événements de la configuration matérielle réseau et des applications en temps réel, sans oublier les centres d'administration de la sécurité (Security Operation Center, SOC).
Les systèmes SIEM récoltent des données auprès de différentes sources, dont des réseaux des systèmes de sécurité, des serveurs, des bases de données et des applications. Ils assurent aussi la fonction de regroupement des données traitées, ce qui ne vous permet pas d'ignorer les événements critiques. De plus, ces systèmes exécutent l'analyse automatique des événements associés et des signaux d'alerte pour prévenir les administrateurs des problèmes du système de sécurité qui requièrent une solution immédiate. Les notifications peuvent s'afficher sur les barres des indicateurs ou être envoyées par des canaux tiers, par exemple, par email.
La procédure d'exportation des événements de Kaspersky Security Center Linux vers les systèmes SIEM fait intervenir deux parties : l'expéditeur des événements (Kaspersky Security Center Linux), et le destinataire de ceux-ci (le système SIEM). Pour que l'exportation des événements réussisse, il faut réaliser une configuration dans le système SIEM utilisé et dans Kaspersky Security Center Linux. L'ordre des configurations n'a pas d'importance : Vous pouvez soit choisir de commencer par configurer l'envoi des événements à Kaspersky Security Center Linux, puis configurer leur réception par le système SIEM, soit l'inverse.
Format Syslog d'exportation d'événements
Vous pouvez envoyer des événements au format Syslog vers n'importe quel système SIEM. Le protocole Syslog permet de transmettre n'importe quel événement survenu sur le Serveur d'administration et dans les applications de Kaspersky installées sur les appareils administrés. Lors de l'exportation des événements au format Syslog vous pouvez choisir exactement les événements qu'il faut transmettre au système SIEM.
Réception des événements par le système SIEM
Le système SIEM doit accepter et analyser correctement les événements en provenance de Kaspersky Security Center Linux. Il faut pour cela configurer le système SIEM. La configuration dépend du système SIEM utilisé en particulier. Toutefois, il existe une série d'étapes communes à l'ensemble des systèmes SIEM : la configuration du récepteur et de l'analyseur.
Haut de page