Szenario: Den Ereignisexport in SIEM-Systeme konfigurieren
Kaspersky Security Center Linux ermöglicht die Konfiguration des Ereignisexports in SIEM-Systeme. Dafür gibt es folgende Methoden: Export in ein beliebiges SIEM-System, das das Syslog-Format verwendet, oder Export von Ereignissen in SIEM-Systeme direkt aus der Kaspersky Security Center-Datenbank. Nach Abschluss dieses Szenarios sendet der Administrationsserver automatisch Ereignisse an ein SIEM-System.
Erforderliche Vorrausetzungen
Bevor Sie mit der Konfiguration des Ereignisexports in Kaspersky Security Center Linux beginnen:
- Erfahren Sie mehr über die Exportmethoden.
- Stellen Sie sicher, dass Sie die Werte der Systemeinstellungen kennen.
Sie können die Schritte in diesem Szenario in beliebiger Reihenfolge ausführen.
Der Vorgang des Ereignisexports in ein SIEM-System umfasst die folgenden Schritte:
- Konfigurieren des SIEM-Systems, sodass es Ereignisse aus Kaspersky Security Center Linux empfängt
Anleitung: Einstellungen für den Ereignisexport in das SIEM-System
- Auswählen der Ereignisse, die Sie in das SIEM-System exportieren möchten
Markieren der Ereignisse, die Sie in das SIEM-System exportieren möchten. Markieren Sie zuerst die allgemeinen Ereignisse, die in allen verwalteten Kaspersky-Apps auftreten. Dann können Sie die Ereignisse für bestimmte verwaltete Kaspersky-Apps markieren.
- Konfigurieren des Exports von Ereignissen in das SIEM-System
Der Export von Ereignissen kann auf folgende Weisen erfolgen:
- Mittels der Protokolle TCP/IP, UDP oder TLS over TCP
- Mittels direktem Ereignisexport aus der Datenbank von Kaspersky Security Center (In der Datenbank von Kaspersky Security Center ist eine Auswahl an öffentlichen Ansichten verfügbar. Die Beschreibung dieser Ansichten finden Sie im Dokument klakdb.chm).
Ergebnisse
Nach der Konfiguration des Ereignisexports in ein SIEM-System, können Sie sich die Exportergebnisse ansehen, wenn Sie zu exportierende Ereignisse ausgewählt haben.