Support

Solutions pour les entreprises

Kaspersky Security Center 14

Kaspersky Security Center Web Console

Surveillance et rapports

Événements et sélections d'événements

Exportation des événements dans les systèmes SIEM

À propos de l'exportation des événements

Kaspersky Security Center
Нет результатов
Нет результатов
Base de connaissances Aide en ligne
Foire aux questions Télécharger Acheter Renouveler Forum Contacter le support Outils de désinfection

À propos de l'exportation des événements

24 avril 2024

ID 151330_1

Enregistrer au format PDF

L'exportation des événements peut être utilisée dans les systèmes centralisés qui traitent des questions de sécurité au niveau organisationnel et technique, qui surveillent les systèmes de sécurité et consolident les données issues de différentes solutions. Parmi ces système, il y a les systèmes SIEM qui garantissent l'analyse des alertes des systèmes de sécurité et des événements de la configuration matérielle réseau et des applications en temps réel, sans oublier les centres d'administration de la sécurité (Security Operation Center, SOC).

Les systèmes SIEM récoltent des données auprès de différentes sources, dont des réseaux des systèmes de sécurité, des serveurs, des bases de données et des applications. Ils assurent aussi la fonction de regroupement des données traitées, ce qui ne vous permet pas d'ignorer les événements critiques. De plus, ces systèmes exécutent l'analyse automatique des événements associés et des signaux d'alerte pour prévenir les administrateurs des problèmes du système de sécurité qui requièrent une solution immédiate. Les notifications peuvent s'afficher sur les barres des indicateurs ou être envoyées par des canaux tiers, par exemple, par email.

La procédure d'exportation des événements de Kaspersky Security Center vers les systèmes SIEM fait intervenir deux parties : l'expéditeur des événements (Kaspersky Security Center), et le destinataire de ceux-ci (le système SIEM). Pour que l'exportation des événements réussisse, il faut réaliser une configuration dans le système SIEM utilisé et dans la Console d'administration de Kaspersky Security Center. L'ordre des configurations n'a pas d'importance : Vous pouvez commencer par configurer l'envoi des événements à Kaspersky Security Center, puis passer à la configuration de la réception de ceux-ci du côté du système SIEM ou inversement.

Modes d'envoi des événements de Kaspersky Security Center

Il existe trois modes d'envoi des événements depuis Kaspersky Security Center vers les systèmes externes :

  • Envoi des événements via le protocole Syslog à n'importe quel système SIEM.

    Le protocole Syslog permet de transmettre n'importe quel événement survenu sur le Serveur d'administration de Kaspersky Security Center et dans les applications de Kaspersky installées sur les appareils administrés. Le protocole Syslog est un protocole standard d'enregistrement de messages. Vous pouvez l'utiliser pour exporter des événements vers n'importe quel système SIEM.

    Pour cela, vous devez marquer les événements que vous souhaitez relayer au système SIEM. Vous pouvez marquer les événements dans la Console d'administration ou dans Kaspersky Security Center Web Console). Seuls les événements marqués seront relayés au système SIEM. Si vous n'avez rien coché, aucun événement ne sera relayé.

  • Envoi des événements via les protocoles CEF et LEEF vers les systèmes QRadar, Splunk et ArcSight.

    Vous pouvez utiliser les protocoles CEF et LEEF pour exporter des événements généraux. Dans le cadre de l'exportation des événements via les protocoles CEF et LEEF, vous ne pouvez pas sélectionner les événements à exporter. Tous les événements généraux sont exportés. A la différence du protocole Syslog, les protocoles CEF et LEEF ne sont pas universels. CEF et LEEF sont destinés aux systèmes SIEM correspondants (QRadar, Splunk et ArcSight). Par conséquent, quand vous décidez d'exporter des événements via un de ces protocoles, vous devez utiliser l'analyseur requis dans le système SIEM.

    Pour exporter les événements via les protocoles CEF et LEEF, la fonction d'intégration aux systèmes SIEM doit être activée dans le Serveur d'administration à l'aide d'une clé de licence active ou d'un code d'activation valide.

  • Directement depuis la base de données de Kaspersky Security Center vers n'importe quel système SIEM.

    Ce mode d'exportation des événements peut être utilisé pour obtenir des événements directement depuis les représentations publiques de la base de données avec l'l'aide des de requêtes SQL. Les résultats de l'exécution de la requête sont enregistrés dans le fichier .xml qui peut être utilisé pour les données d'entrée du système externe. L'exportation directe depuis la base de données concerne uniquement les événements accessibles dans les représentations publiques.

Réception des événements par le système SIEM

Le système SIEM doit accepter et analyser correctement les événements en provenance de Kaspersky Security Center. Il faut pour cela configurer le système SIEM. La configuration dépend du système SIEM utilisé en particulier. Toutefois, il existe une série d'étapes communes à l'ensemble des systèmes SIEM : la configuration du récepteur et de l'analyseur.

Voir également :

Scénario : configuration de l'export d'événements vers des systèmes SIEM

Kaspersky Security Center : automatisation de la sécurité informatique et obtention d'une vue à 360°
Une console d'administration puissante, avec une autre interface flexible basée sur le Web disponible où que vous soyez, depuis n'importe quel appareil. Achetez avec Endpoint Security for Business Advanced.
Services d'assistance haut de gamme : traitement prioritaire des incidents
Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.
Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.