حول تكوين تصدير الحدث في نظام SIEM

24 يناير 2024

ID 151335

توسيع الكل | طي الكل

تشتمل عملية تصدير الأحداث من Kaspersky Security Center إلى أنظمة SIEM الخارجية على طرفين: Kaspersky Security Center ومستلم الحدث – نظام SIEM. يجب عليك تكوين عملية تصدير الأحداث في نظام SIEM الخاص بك وفي Kaspersky Security Center.‏

تعتمد الإعدادات التي تحددها في نظام SIEM على النظام المحدد الذي تستخدمه. بوجه عام، بالنسبة إلى جميع الأجهزة يتعين عليك إعداد المستلم، ولك الخيار، في إعداد محلل الرسالة لتحليل الأحداث المستلمة.

إعداد المستلم

لاستلام الأحداث التي يرسلها Kaspersky Security Center، يجب عليك إعداد المستلم في نظام SIEM الخاص بك. بوجه عام، يجب تحديد الإعدادات التالية في نظام SIEM.‏

  • تصدير بروتوكول أو نوع إدخال‏
  • المنفذ‏
  • بروتوكول الرسالة أو نوع المصدر‏

بناءً على نظام SIEM الذي تستخدمه، قد يتعين عليك تحديد بعض الإعدادات الإضافية للمستلم.

يوضح الشكل أدناه شاشة إعداد جهاز الاستقبال في ArcSight.‏

في ArcSight، توجد شاشة إعداد جهاز الاستقبال في علامة التبويب Configuration. يتم تحديد إعدادات جهاز الاستقبال على النحو التالي: اسم جهاز الاستقبال هو tcp cef، وخاصية IP / Host هي الكل، والمنفذ 616، والتشفير UTF-8، ونوع المصدر هو CEF.‏

إعداد المستلم في ArcSight

محلل الرسالة

يتم تمرير الأحداث التي تم تصديرها إلى أنظمة SIEM كرسائل. يجب تحليل هذه الرسائل على النحو الصحيح حتى يتسنى استخدام معلومات الأحداث بواسطة نظام SIEM. تمثل محللات الرسالة جزءًا من نظام SIEM، إذ تُستخدم لتجزئة محتويات الرسالة في الحقول ذات الصلة، مثل معرف الحدث والخطورة والوصف والمعلمات وما إلى ذلك. يتيح هذا الإجراء لنظام SIEM معالجة الأحداث المستلمة من Kaspersky Security Center حتى يمكن تخزينها في قاعدة بيانات نظام SIEM.‏

انظر أيضًا:

السيناريو: تكوين تصدير الحدث إلى نظام SIEM

هل وجدت هذه المقالة مفيدة؟
ما الذي يمكننا تحسينه؟
شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.
شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.