Il processo di esportazione degli eventi da Kaspersky Security Center Linux ai sistemi SIEM esterni coinvolge due parti: un mittente degli eventi (Kaspersky Security Center Linux) e il destinatario di un evento (il sistema SIEM). È necessario configurare l’esportazione degli eventi nel sistema SIEM e in Kaspersky Security Center Linux.
Le impostazioni specificate nel sistema SIEM dipendono dal particolare sistema in uso. In genere, per tutti i sistemi SIEM è necessario impostare un ricevitore ed eventualmente un parser dei messaggi per l'analisi degli eventi ricevuti.
Configurazione del ricevitore
Per la ricezione degli eventi inviati da Kaspersky Security Center Linux, è necessario impostare il ricevitore nel sistema SIEM. In generale, le seguenti impostazioni devono essere specificate nel sistema SIEM:
Un protocollo di trasferimento dei messaggi (UDP, TCP o TLS) su TCP. Questo protocollo deve corrispondere al protocollo specificato in Kaspersky Security Center Linux.
Specificare il numero di porta per la connessione a Kaspersky Security Center Linux. Deve trattarsi della stessa porta specificata in Kaspersky Security Center Linux durante la configurazione con un sistema SIEM.
Specificare il formato Syslog.
A seconda del sistema SIEM in uso, potrebbe essere necessario specificare alcune impostazioni aggiuntive del ricevitore.
La figura seguente mostra la schermata di configurazione del ricevitore in ArcSight.
Configurazione del ricevitore in ArcSight
Parser dei messaggi
Gli eventi esportati vengono inviati ai sistemi SIEM come messaggi. Questi messaggi devono essere analizzati correttamente per consentire l'utilizzo delle informazioni sugli eventi nel sistema SIEM. I parser dei messaggi fanno parte del sistema SIEM: vengono utilizzati per suddividere il contenuto del messaggio nei campi appropriati, ad esempio l'ID degli eventi, la gravità, la descrizione, i parametri. Questo consente al sistema SIEM di elaborare gli eventi ricevuti da Kaspersky Security Center Linux in modo che possano essere memorizzati nel database del sistema SIEM.