Soporte

Soporte para empresas

Kaspersky Security Center 13

Kaspersky Security Center 13.2

Exportación de eventos a sistemas SIEM

Sobre exportación de eventos

Kaspersky Security Center
Нет результатов
Нет результатов
Ayuda en línea
FAQ Cambiar a la nueva versión Comprar Renovar Foro Contactar Asistencia Instrumentos de recuperación

Sobre exportación de eventos

17 de abril de 2023

ID 151330

Puede utilizar la exportación de eventos en sistemas centralizados que tratan con problemas de seguridad a un nivel organizativo y técnico, proporcionan servicios de supervisión de la seguridad y unifican la información de soluciones diferentes. Estos son sistemas de SIEM, que proporcionan análisis en tiempo real de alertas de seguridad y eventos generados por el hardware de la red y las aplicaciones o Centros operativos de seguridad (SOCs).

Estos sistemas reciben datos desde muchas fuentes, redes incluidas, seguridad, servidores, bases de datos y aplicaciones. Los sistemas SIEM también proporcionan funcionalidad para consolidar datos supervisados a fin de ayudarle a evitar omitir eventos críticos. Además, los sistemas realizan análisis automatizados de eventos correlacionados y alertas a fin de notificar a los administradores sobre problemas de seguridad inmediatos. La generación de alertas se puede implementar a través de un panel o se puede enviar a través de canales de terceros, como el correo electrónico.

El proceso de exportar eventos desde Kaspersky Security Center a sistemas SIEM externos involucra a dos partes: un remitente del evento, Kaspersky Security Center, y un destinatario del evento, un sistema SIEM. Para exportar eventos correctamente, debe configurar estos parámetros en su sistema de SIEM y en la Consola de administración de Kaspersky Security Center. No importa qué componente configura primero. Puede configurar la transmisión de eventos desde Kaspersky Security Center y, a continuación, configurar la recepción de eventos por parte del sistema SIEM o viceversa.

Métodos para enviar eventos desde Kaspersky Security Center

Hay tres métodos para enviar eventos desde Kaspersky Security Center a sistemas externos:

  • El envío de eventos con el protocolo de Syslog a cualquier sistema SIEM

    Usando el protocolo de Syslog, puede transmitir cualquier evento que ocurra en el Servidor de administración de Kaspersky Security Center y las aplicaciones de Kaspersky instaladas en dispositivos administrados. El protocolo Syslog es un protocolo de registros de mensajes estándar. Puede utilizarlo para exportar eventos a cualquier sistema SIEM.

    Para ello, debe marcar los eventos que desea transmitir al sistema SIEM. Puede marcar los eventos en la Consola de administración o en Kaspersky Security Center 13.2 Web Console. Solo los eventos marcados se transmitirán al sistema SIEM. Si no marcó nada, no se retransmitirá ningún evento.

  • Enviando eventos sobre protocolos CEF y LEEF a sistemas QRadar, Splunk y ArcSight

    Puede utilizar los protocolos CEF y LEEF para exportar eventos generales. Al exportar eventos en protocolos CEF y LEEF, no tiene la capacidad de seleccionar eventos específicos que exportar. En cambio, todos los eventos generales se exportan. A diferencia del protocolo Syslog, los protocolos CEF y LEEF no son universales. CEF y LEEF están diseñados para los sistemas SIEM apropiados (QRadar, Splunk y ArcSight). Por lo tanto, cuando elige exportar eventos sobre uno de estos protocolos, usa el analizador requerido en el sistema SIEM.

    Para exportar eventos a través de los protocolos CEF y LEEF, la función Integración con los sistemas SIEM debe activarse en el Servidor de administración utilizando una clave de licencia activa o un código de activación válido.

  • Directamente desde la base de datos de Kaspersky Security Center a cualquier sistema SIEM.

    Este método de exportar eventos puede utilizarse para recibir eventos directamente de vistas públicas de la base de datos mediante consultas de SQL. Los resultados de una consulta se guardan a un archivo XML que se puede utilizar como datos de entrada para un sistema externo. Solo los eventos disponibles en vistas públicas se pueden exportar directamente desde la base de datos.

Recepción de eventos por el sistema SIEM

El sistema SIEM debe recibir y analizar correctamente los eventos recibidos desde Kaspersky Security Center. Con estos objetivos, debe configurar correctamente el sistema SIEM. La configuración depende del sistema SIEM específico utilizado. No obstante, hay varios pasos generales en la configuración de todos los sistemas SIEM, por ejemplo, configurando el receptor y el analizador.

Consulte también:

Configuración de la exportación de eventos a sistemas SIEM

Kaspersky Security Center: Optimization of daily routine tasks
A powerful administration console, with an additional flexible web-based interface that’s available wherever you are. Buy as part of Endpoint Security for Business Advanced.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
¿Le ha resultado útil este artículo?
¿Qué podemos mejorar?
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.