Acerca de la exportación de eventos en formato CEF o LEEF
Los eventos generales y los eventos que las aplicaciones de Kaspersky transfieren al Servidor de administración se pueden exportar al sistema SIEM en los formatos CEF y LEEF. El conjunto de eventos exportados se predefine, y no puede seleccionar los eventos que se exportarán.
Para exportar eventos a través de los protocolos CEF y LEEF, la función Integración con los sistemas SIEM debe activarse en el Servidor de administración utilizando una clave de licencia activa o un código de activación válido.
Según el sistema SIEM que utilice, deberá elegir uno u otro formato de exportación. La siguiente tabla muestra los formatos correspondientes a algunos sistemas SIEM.
Formatos de exportación de eventos por sistema SIEM
Sistema SIEM | Formato de exportación |
|---|---|
QRadar | LEEF |
ArcSight | CEF |
Splunk | CEF |
- LEEF (Log Event Extended Format) es un formato de evento personalizado para IBM Security QRadar SIEM. QRadar puede integrar, identificar y procesar eventos LEEF. Los eventos LEEF deben usar la codificación de caracteres UTF-8. Puede encontrar la información detallada del protocolo LEEF en el Centro de conocimientos de IBM.
- CEF (Formato de eventos comunes) es un estándar abierto para la gestión de registros que mejora el interoperabilidad de la información relacionada con la seguridad desde diferentes dispositivos y aplicaciones de red y seguridad. CEF le permite usar un formato de registros de eventos común de modo que los datos se puedan integrar y agregarse fácilmente para el análisis por un sistema de gestión de la empresa.
La exportación automática significa que Kaspersky Security Center envía eventos generales al sistema SIEM. La exportación automática de eventos se inicia inmediatamente después de que la habilita. Esta sección explica detalladamente cómo habilitar la exportación automática de eventos.