Acerca de la configuración de la exportación de eventos en un sistema SIEM

21 de marzo de 2024

ID 151335

Expandir todo | Contraer todo

El proceso de exportación de eventos desde Kaspersky Security Center a sistemas SIEM externos involucra a dos partes: un remitente de eventos (Kaspersky Security Center) y un destinatario para los eventos (el sistema SIEM). Debe configurar la exportación de eventos en su sistema SIEM y en Kaspersky Security Center.

Los ajustes que especifique en el sistema SIEM dependerán del sistema particular que esté utilizando. En general, para todo sistema SIEM, deberá configurar un receptor y, opcionalmente, un analizador que procese los eventos recibidos.

Configuración del receptor

Para recibir eventos enviados por Kaspersky Security Center, debe configurar el destinatario en su sistema SIEM. Por lo general, deberá especificar los valores de los siguientes parámetros dentro del sistema SIEM:

  • Protocolo de exportación o tipo de entrada
  • Puerto
  • Protocolo de mensajes o tipo de origen

Según el sistema SIEM que utilice, debería especificar algunas configuraciones adicionales del destinatario.

La figura siguiente muestra la pantalla de configuración del destinatario en ArcSight.

En ArcSight, la pantalla de configuración del destinatario se encuentra en la pestaña “Configuration” (Configuración). La configuración del destinatario se define de la siguiente manera: el nombre del receptor es “tcp cef”, la propiedad IP/Host es “All” (Todo), el puerto (Port) es 616, la codificación (Encoding) es UTF-8 y el tipo de origen (Source Type) es CEF.

Configuración del destinatario en ArcSight

Analizador sintáctico de mensajes

Los eventos exportados se transfieren al sistema SIEM en forma de mensajes. Estos mensajes deben analizarse; de lo contrario, el sistema SIEM no puede hacer uso de la información de los eventos. Los analizadores sintácticos de mensajes son parte del sistema SIEM; se usan para separar los contenido del mensaje en los campos relevantes, por ejemplo ID del evento, gravedad, descripción, parámetros, etcétera. Esto permite al sistema SIEM procesar eventos recibidos de Kaspersky Security Center, de modo que se puedan almacenar en la base de datos del sistema SIEM.

Consulte también:

Escenario: Configurar la exportación de eventos a un sistema SIEM

¿Le ha resultado útil este artículo?
¿Qué podemos mejorar?
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.