Über das Exportieren von Ereignissen mittels der Formate CEF und LEEF
Die CEF- und LEEF-Formate können verwendet werden, um allgemeine Ereignisse und Ereignisse, die von Kaspersky-Programmen an den Administrationsserver übertragen werden, in SIEM-Systeme zu exportieren. Der Satz der zu exportierenden Ereignisse ist vordefiniert, es gibt keine Möglichkeit, die zu exportierenden Ereignisse auszuwählen.
Um die Ereignisse per CEF- oder LEEF-Protokoll exportieren zu können, müssen Sie auf dem Administrationsserver die Integration mit SIEM-Systemen mithilfe eines aktiven Lizenzschlüssels oder eines gültigen Aktivierungscodes aktivieren.
Das Exportformat kann abhängig vom verwendeten SIEM-System ausgewählt werden. In der folgenden Tabelle sind die SIEM-Systeme und die ihnen entsprechenden Exportformate angeführt.
Formate für den Ereignisexport in ein SIEM-System
| SIEM-System | Exportformat |
|---|---|
| QRadar | LEEF |
| ArcSight | CEF |
| Splunk | CEF |
- LEEF (Log Event Extended Format) ist ein spezielles Format für Ereignisprotokollierung in IBM Security QRadar SIEM. QRadar kann Ereignisse, die gemäß dem LEEF-Protokoll übergeben werden, sammeln, identifizieren und bearbeiten. Für das LEEF-Protokoll muss die UTF-8-Kodierung verwendet werden. Ausführlicheren Informationen über das LEEF-Protokoll finden Sie im IBM Knowledge Center.
- CEF ist ein Standard der Verwaltung vom Typ "offenes Protokoll", der die Kompatibilität der Informationen des Sicherheitssystems verschiedener Netzwerkgeräte und Apps verbessert. Das CEF-Protokoll ermöglicht die Verwendung eines allgemeinen Formats für das Ereignisprotokoll, damit die Managementsysteme für Unternehmen die Daten für die Analyse problemlos abrufen und zusammenfassen können.
Automatischer Export bedeutet, dass Kaspersky Security Center die allgemeinen Ereignisse ins SIEM-System sendet. Der automatische Export der Ereignisse beginnt sofort nach der Aktivierung. In diesem Abschnitt ist der Ablauf zur Aktivierung des automatischen Exports von Ereignissen beschrieben.