关于事件导出

Kaspersky Security Center Linux 允许您接收受管理设备上安装的管理服务器和 Kaspersky 应用程序在操作期间发生的事件信息。事件信息保存在管理服务器数据库。

您可以在处理组织和技术级别的安全问题的集中式系统内使用事件导出,提供安全监控服务,以及合并来自不同解决方案的信息。即是提供对网络硬件和应用程序生成的安全警告的实时分析的 SIEM 系统,或者安全操作中心(SOC)。

这些系统可以从许多源接收数据,包括网络、安全、服务器、数据库和应用程序。SIEM 系统也提供功能以集成监控的数据,以便帮助您避免丢失关键事件。而且,系统执行相关事件和警告的自动分析以通知管理员安全问题。警告可以通过仪表盘实现,或可以通过第三方渠道发送,例如邮件。

从 Kaspersky Security Center Linux 导出事件到外部 SIEM 系统的进程设计两部分:事件发送者,Kaspersky Security Center 和事件接收者,SIEM 系统。要成功导出事件,您必须在 SIEM 系统和 Kaspersky Security Center Linux 中进行配置。您可以先配置任意一端。您可以配置 Kaspersky Security Center Linux 中的事件传输,然后配置 SIEM 系统对事件的接收,或者相反。

事件导出的 Syslog 格式

您可以将 Syslog 格式的事件发送到任何 SIEM 系统。使用 Syslog 格式,您可以转发在管理服务器上和在受管理设备上安装的卡巴斯基应用程序中发生的任意事件。导出 Syslog 格式的事件时,您可以准确选择将转发到 SIEM 系统的事件类型。

通过 SIEM 系统接收事件

SIEM 系统必须接收和正确解析来自 Kaspersky Security Center Linux 的事件。因为这些目的,您必须正确配置 SIEM 系统。配置取决于特定的 SIEM 系统。然而,有一些配置所有 SIEM 系统的通用步骤,例如配置接收器和解析器。

页顶