À propos de l'exportation des événements via les formats CEF et LEEF
Vous pouvez utiliser les formats CEF et LEEF pour exporter vers les systèmes SIEM des événements généraux, ainsi que les événements transférés par les applications Kaspersky vers le Serveur d'administration. L'ensemble des événements à exporter est défini préalablement et il est impossible de sélectionner les événements à exporter.
Pour exporter les événements via les protocoles CEF et LEEF, la fonction d'intégration aux systèmes SIEM doit être activée dans le Serveur d'administration à l'aide d'une clé de licence active ou d'un code d'activation valide.
Choisissez le format d'exportation en fonction du système SIEM que vous utilisez. Le tableau suivant reprend les systèmes SIEM et les formats d'exportation qui leur correspond.
Formats d'exportation des événements dans le système SIEM
Système SIEM | Format d'exportation |
|---|---|
QRadar | LEEF |
ArcSight | CEF |
Splunk | CEF |
- LEEF est un format spécial des événements pour IBM Security QRadar SIEM. QRadar peut intégrer, identifier et traiter les événements LEEF. Le protocole LEEF requiert l'utilisation du codage UTF-8. Pour en savoir plus sur le protocole LEEF, consultez la page Internet du IBM Knowledge Center.
- CEF est un standard d'administration de type « journal ouvert » qui améliore la compatibilité des informations du système de sécurité de différents appareils et applications réseau. Le protocole CEF permet d'utiliser le format général du journal des événements pour que les systèmes d'administration de l'entreprise puissent recevoir et regrouper facilement les données pour l'analyse.
Lors de l'exportation automatique, Kaspersky Security Center envoie les événements généraux au système SIEM. L'exportation automatique des événements dès l'activation. Cette section décrit la procédure d'activation de l'exportation des événements automatique.