حول تصدير الحدث
يمكن استخدام تصدير الحدث في الأنظمة المركزية التي تتعامل مع مشكلات الأمان على المستوى التنظيمي والتقني، والتي توفر خدمات مراقبة الأمان، وتجمع المعلومات من الحلول المختلفة. وهذه هي أنظمة SIEM التي توفر التحليل الفوري لتحذيرات الأمان والأحداث التي تنشئها أجهزة الشبكة والتطبيقات، أو مراكز تشغيل الأمان (SOC).
يمكن لهذه الأنظمة استلام البيانات من العديد من المصادر، بما فيها الشبكات والأمان والخوادم وقواعد البيانات والتطبيقات. توفر أنظمة SIEM أيضًا وظيفة تجميع البيانات التي تم رصدها لمساعدتك في تجنب فقدان الأحداث الحرجة. إضافة إلى ذلك، تُجري الأنظمة تحليلاً تلقائيًا للأحداث والتحذيرات المترابطة لإخطار المسؤولين بمشاكل الأمان العاجلة. يمكن تنفيذ التحذير من خلال لوحة معلومات ويمكن إرسالها من خلال قنوات لجهات خارجية مثل البريد الإلكتروني.
تشتمل عملية تصدير الأحداث من Kaspersky Security Center Linux إلى أنظمة SIEM الخارجية على طرفين: Kaspersky Security Center Linux ومستلم الحدث – نظام SIEM. لتصدير حدث بنجاح، يجب عليك تكوين هذا الحدث في نظام SIEM وفي وحدة تحكم إدارة Kaspersky Security Center Linux. لا يهم ما الطرف الذي تقوم بتكوينه أولاً. يمكنك تكوين نقل الأحداث في Kaspersky Security Center Linux ثم تكوين مستلم الأحداث بواسطة نظام SIEM أو العكس.
تنسيق Syslog لتصدير الحدث
يمكنك إرسال الأحداث بتنسيق Syslog إلى أي نظام SIEM. باستخدام بروتوكول Syslog، يمكنك ترحيل أي من الأحداث التي تحدث في خادم الإدارة وفي تطبيقات Kaspersky المثبتة على الأجهزة المدارة. عند تصدير الأحداث عبر تنسيق Syslog، يمكنك تحديد أنواع الأحداث التي سيتم ترحيلها بالضبط إلى نظام SIEM.
استلام الأحداث بواسطة نظام SIEM
يجب أن يستلم نظام SIEM الأحداث المحللة بشكل صحيح والمستلمة من Kaspersky Security Center Linux. لهذه الأغراض يجب عليك تكوين نظام SIEM على النحو الصحيح. يعتمد التكوين على نظام SIEM المحدد الذي تم استخدامه. ومع ذلك، يوجد عدد من الخطوات العامة في تكوين جميع أنظمة SIEM، مثل تكوين المستلم والمحلل.