关于配置 SIEM 系统中的事件导出

从 Kaspersky Security Center Linux 导出事件到外部 SIEM 系统的进程设计两部分：事件发送者，Kaspersky Security Center 和事件接收者，SIEM 系统。必须在 SIEM 系统和 Kaspersky Security Center Linux 中配置事件导出。

您在 SIEM 系统中指定的设置取决于您使用的系统。通常，对于所有 SIEM 系统，您必须设置接收器和消息解析器（可选）以解析接收的事件。

设置接收器

为了接收 Kaspersky Security Center Linux 发送的事件，您必须在您的 SIEM 系统中设置接收器。通常，必须在 SIEM 系统指定以下设置：

导出协议
消息传输协议，UDP、TCP 或 TLS over TCP。该协议必须与您在 Kaspersky Security Center Linux 中指定的协议相同。
端口
指定用于连接到 Kaspersky Security Center Linux 的端口号。该端口必须与您在配置 SIEM 系统期间在 Kaspersky Security Center Linux 中指定的端口相同。
数据格式
指定 Syslog 格式。

根据所使用的 SIEM 系统，您可能需要指定一些附加接收器设置。

下图显示了 ArcSight 的接收器设置截图。

在 ArcSight 中，接收器设置屏幕位于配置选项卡上。接收器设置指定如下：接收器名称为 tcp cef，IP/Host 属性为 All，端口为 616，编码为 UTF-8，源类型为 CEF。

ArcSight 的接收器设置

消息解析器

导出的事件作为消息被传递到 SIEM 系统。这些消息必须正确解析，以便事件信息可以被 SIEM 系统使用。消息解析器是 SIEM 系统的一部分，它们用于拆分消息内容到相关字段，例如事件 ID、严重级别、描述、参数。这将启用 SIEM 系统以处理从 Kaspersky Security Center Linux 接收的事件，以便它们可以被存储在 SIEM 系统数据库。

另请参阅：

方案：配置导出事件到 SIEM 系统

页顶