Szenario: Den Ereignisexport in SIEM-Systeme konfigurieren
17. April 2023
ID 151328_1
Kaspersky Security Center ermöglicht die Konfiguration mit einer der folgenden Methoden: Export in ein beliebiges SIEM-System mit Syslog-Format; Export in die SIEM-Systeme QRadar, Splunk, ArcSight mit LEEF- und CEF-Format; direkter Export von Ereignissen in SIEM-Systeme aus der Datenbank von Kaspersky Security Center. Nach Abschluss dieses Szenarios sendet der Administrationsserver Ereignisse automatisch an das SIEM-System.
Erforderliche Komponenten
Bevor Sie mit der Konfiguration des Ereignisexports in die Kaspersky Security Center beginnen:
- Erfahren Sie mehr über die Exportmethoden.
- Stellen Sie sicher, dass Sie die Werte der Systemeinstellungen kennen.
Sie können die Schritte in diesem Szenario in beliebiger Reihenfolge ausführen.
Der Prozess des Ereignisexports in SIEM-Systeme umfasst die folgenden Schritte:
- Konfigurieren des SIEM-Systems, so dass es Ereignisse aus Kaspersky Security Center empfängt
Anleitung: Einstellungen für den Ereignisexport in das SIEM-System
- Auswählen der Ereignisse, die Sie in das SIEM-System exportieren möchten:
Anleitung:
- Verwaltungskonsole: Ereignisse eines Kaspersky-Programms für den Export im Syslog-Format markieren, Allgemeine Ereignisse für den Export im Syslog-Format markieren
- Kaspersky Security Center 13.2 Web Console: Ereignissen eines Kaspersky-Programms für den Export im Syslog-Format markieren, Allgemeine Ereignisse für den Export im Syslog-Format markieren
- Konfigurieren des Ereignisexports in ein SIEM-System unter Verwendung einer der folgenden Methoden:
- Mittels der Protokolle TCP/IP, UDP, TLS oder "TLS over TCP".
Anleitung:
- Verwaltungskonsole: Export von Ereignissen in SIEM-Systeme konfigurieren
- Kaspersky Security Center 13.2 Web Console: Export von Ereignissen in SIEM-Systeme konfigurieren
- Mittels direktem Export von Ereignissen aus der Datenbank von Kaspersky Security Center (In der Datenbank von Kaspersky Security Center ist eine Auswahl an öffentlichen Ansichten verfügbar. Die Beschreibung dieser Ansichten finden Sie im Dokument klakdb.chm.)
- Mittels der Protokolle TCP/IP, UDP, TLS oder "TLS over TCP".
Ergebnisse
Nach der Konfiguration des Ereignisexports in ein SIEM-System, können Sie sich die Exportergebnisse ansehen, wenn Sie Ereignisse ausgewählt haben, die Sie exportieren wollen.