حول تكوين تصدير الحدث في نظام SIEM
تشتمل عملية تصدير الأحداث من Kaspersky Security Center Linux إلى أنظمة SIEM الخارجية على طرفين: Kaspersky Security Center Linux ومستلم الحدث – نظام SIEM. يجب عليك تكوين عملية تصدير الأحداث في نظام SIEM الخاص بك وفي Kaspersky Security Center Linux.
تعتمد الإعدادات التي تحددها في نظام SIEM على النظام المحدد الذي تستخدمه. بوجه عام، بالنسبة إلى جميع الأجهزة يتعين عليك إعداد المستلم، ولك الخيار، في إعداد محلل الرسالة لتحليل الأحداث المستلمة.
إعداد المستلم
لاستلام الأحداث التي يرسلها Kaspersky Security Center Linux، يجب عليك إعداد المستلم في نظام SIEM الخاص بك. بوجه عام، يجب تحديد الإعدادات التالية في نظام SIEM.
- بروتوكول التصدير
بروتوكول نقل الرسائل ، إما UDP أو TCP أو TLS، عبر TCP. يجب أن يكون هذا البروتوكول مطابقًا لما حددته في Kaspersky Security Center Linux.
- المنفذ
حدد رقم المنفذ للاتصال بـ Kaspersky Security Center Linux. يجب أن يكون هذا المنفذ هو نفس المنفذ الذي تحدده في Kaspersky Security Center Linux أثناء التكوين باستخدام نظام SIEM.
- تنسيق البيانات
حدد تنسيق Syslog.
بناءً على نظام SIEM الذي تستخدمه، قد يتعين عليك تحديد بعض الإعدادات الإضافية للمستلم.
يوضح الشكل أدناه شاشة إعداد جهاز الاستقبال في ArcSight.
إعداد المستلم في ArcSight
محلل الرسالة
يتم تمرير الأحداث التي تم تصديرها إلى أنظمة SIEM كرسائل. يجب تحليل هذه الرسائل على النحو الصحيح حتى يتسنى استخدام معلومات الأحداث بواسطة نظام SIEM. تمثل محللات الرسالة جزءًا من نظام SIEM، إذ تُستخدم لتجزئة محتويات الرسالة في الحقول ذات الصلة، مثل معرف الحدث والخطورة والوصف والمعلمات وما إلى ذلك. يتيح هذا الإجراء لنظام SIEM معالجة الأحداث المستلمة من Kaspersky Security Center Linux حتى يمكن تخزينها في قاعدة بيانات نظام SIEM.
يحتوي كل نظام من أنظمة SIEM على مجموعة من محللات الرسالة القياسية. يوفر Kaspersky أيضًا محللات الرسالة لبعض أنظمة SIEM، على سبيل المثال، QRadar وArcSight. يمكنك تنزيل هذه الرسائل من مواقع ويب أنظمة SIEM المطابقة. عند تكوين المستلم، يمكنك استخدام أحد محللات الرسالة القياسية أو محلل رسالة من Kaspersky.