Acerca de la configuración de la exportación de eventos en un sistema SIEM

Soporte

Soporte para empresas

Kaspersky Security Center 15 Linux

Supervisión, generación de informes y auditoría

Exportación de eventos a sistemas SIEM

Acerca de la configuración de la exportación de eventos en un sistema SIEM

21 de marzo de 2024

ID 151335

Guardar como PDF

El proceso de exportar eventos desde Kaspersky Security Center Linux a sistemas SIEM externos involucra a dos partes: un remitente del evento, Kaspersky Security Center Linux y un destinatario del evento, el sistema SIEM. Debe configurar la exportación de eventos en su sistema SIEM y en Kaspersky Security Center Linux.

Los ajustes que especifique en el sistema SIEM dependerán del sistema particular que esté utilizando. En general, para todo sistema SIEM, deberá configurar un receptor y, opcionalmente, un analizador que procese los eventos recibidos.

Configuración del receptor

Para poder recibir los eventos enviados por Kaspersky Security Center Linux, debe configurar el receptor en su sistema SIEM. Por lo general, deberá especificar los valores de los siguientes parámetros dentro del sistema SIEM:

Protocolo de exportación
Un protocolo de transferencia de mensajes, ya sea UDP, TCP o TLS sobre TCP. Este protocolo debe ser el mismo que el protocolo que especificó en Kaspersky Security Center Linux.
Puerto
Número de puerto para conectar con Kaspersky Security Center Linux. Este puerto debe ser el mismo que el puerto que especifica en Kaspersky Security Center Linux durante la configuración con un sistema SIEM.
Formato de los datos
Especifique el formato Syslog.

Según el sistema SIEM que utilice, debería especificar algunas configuraciones adicionales del destinatario.

La figura siguiente muestra la pantalla de configuración del destinatario en ArcSight.

En ArcSight, la pantalla de configuración del destinatario se encuentra en la pestaña “Configuration” (Configuración). La configuración del destinatario se define de la siguiente manera: el nombre del receptor es “tcp cef”, la propiedad IP/Host es “All” (Todo), el puerto (Port) es 616, la codificación (Encoding) es UTF-8 y el tipo de origen (Source Type) es CEF.

Configuración del destinatario en ArcSight

Analizador sintáctico de mensajes

Los eventos exportados se transfieren al sistema SIEM en forma de mensajes. Estos mensajes deben analizarse; de lo contrario, el sistema SIEM no puede hacer uso de la información de los eventos. Los analizadores sintácticos de mensajes son parte del sistema SIEM; se usan para separar los contenido del mensaje en los campos relevantes, por ejemplo ID del evento, gravedad, descripción, parámetros, etcétera. Esto permite al sistema SIEM procesar eventos recibidos de Kaspersky Security Center Linux para que se puedan almacenar en la base de datos del sistema SIEM.

Consulte también:

Escenario: Configurar la exportación de eventos a un sistema SIEM

Kaspersky Endpoint Security for Linux: High protection without performance compromising

Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

¿Le ha resultado útil este artículo?

¿Qué podemos mejorar?

¡Gracias por darnos su opinión! Nos está ayudando a mejorar.