Über das Konfigurieren des Ereignisexports in ein SIEM-System

Alle erweitern | Alles ausblenden

Am Ablauf des Ereignisexports aus Kaspersky Security Center in die externen SIEM-Systeme sind zwei Seiten beteiligt: der Absender der Ereignisse – Kaspersky Security Center – und der Empfänger der Ereignisse – das SIEM-System. Der Ereignisexport wird im verwendeten SIEM-System und in Kaspersky Security Center angepasst.

Die Einstellungen, die im SIEM-System vorgenommen werden, sind vom System abhängig, das Sie verwenden. Im Allgemeinen müssen für alle SIEM-Systeme der Empfänger der Nachrichten und, falls erforderlich, der Nachrichtenparser angepasst werden, damit die erhaltenen Nachrichten auf die Felder verteilt werden können.

Einstellungen des Empfängers der Nachrichten

Für das SIEM-Systems muss der Empfänger für den Erhalt der Ereignisse, die von Kaspersky Security Center gesendet werden, angepasst werden. Im Allgemeinen müssen im SIEM-System die folgenden Einstellungen angegeben werden:

Je nachdem, welches SIEM-System Sie verwendetem, kann es erforderlich sein, erweiterte Einstellungen für den Empfänger der Nachrichten anzugeben.

Auf der unteren Abbildung dienen die Einstellungen des Empfängers in ArcSight als Beispiel.

In ArcSight befinden sich die Einstellungen des Empfängers auf der Registerkarte "Konfiguration". Die Empfängereinstellungen werden wie folgt angegeben: Der Empfängername ist "tcp cef", die IP/Host-Parameter ist "All", der Port ist "616", die Kodierung ist "UTF-8", der Quelltyp ist "CEF".

Einstellungen des Empfängers in ArcSight

Nachrichtenparser

Die exportierten Ereignisse werden in Form von Nachrichten an das SIEM-System übergeben. Dann wird für diese Nachrichten der Parser verwendet, damit die Informationen über die Ereignisse entsprechend ins SIEM-System übergeben werden. Die Nachrichtenparser sind im SIEM-System integriert; sie werden für die Aufteilung der Nachrichten in Felder, etwa ID der Nachricht, Ereigniskategorie, Beschreibung und die übrigen Einstellungen verwendet. Daraufhin hat das SIEM-System die Möglichkeit, die Ereignisse, die aus Kaspersky Security Center empfangen werden, so zu verarbeiten, dass sie in der Datenbank des SIEM-Systems gespeichert werden.

In jedem SIEM-System gibt es einen Satz von Standardparsern für Nachrichten. Kaspersky stellt für einige SIEM-Systeme, beispielsweise QRadar und ArcSight, ebenfalls Nachrichtenparser bereit. Sie können diese Nachrichtenparser von den Webseiten der entsprechenden SIEM-Systeme herunterladen. In den Einstellungen des Empfängers können Sie den verwendeten Nachrichtenparser auswählen: entweder den Standardparser oder den von Kaspersky bereitgestellten Parser.

Siehe auch:

Szenario: Den Ereignisexport in SIEM-Systeme konfigurieren

Nach oben