El proceso de exportar eventos desde Kaspersky Security Center a sistemas SIEM externos involucra a dos partes: un remitente del evento – Kaspersky Security Center y un destinatario del evento – sistema SIEM. Debe configurar la exportación de eventos en su sistema SIEM y en Kaspersky Security Center.
La configuración que especifica en el sistema SIEM dependerá del sistema que usted esté usando. Generalmente, para todos los sistemas SIEM debe configurar un receptor y, opcionalmente, un analizador sintáctico del mensaje para analizar los eventos recibidos.
Configuración del receptor
Para poder recibir los eventos enviados por Kaspersky Security Center, debe configurar el receptor en su sistema SIEM. En general, la configuración siguiente se debe especificar en el sistema SIEM:
Según el sistema SIEM que utilice, es posible que deba especificar la configuración del receptor adicional.
La cifra siguiente muestra la pantalla de instalación del receptor en ArcSight.
Instalación del receptor en ArcSight
Analizador sintáctico del mensaje
Los eventos de Exportar se transfieren a sistemas SIEM como mensajes. Estos mensajes se deben analizar correctamente de modo que la información sobre los eventos se pueda utilizar por el sistema SIEM. Los analizadores sintácticos de los mensajes son una parte del sistema SIEM; se utilizan para dividir los contenidos del mensaje en los campos relevantes, como ID del evento, gravedad, descripción, parámetros, etc. Esto permite al sistema SIEM procesar eventos recibidos de Kaspersky Security Center de modo que se puedan almacenar en la base de datos del sistema SIEM.
Cada sistema SIEM tiene un conjunto de analizadores de mensajes estándar. Kaspersky también proporciona analizadores de mensajes para algunos sistemas SIEM, por ejemplo, para QRadar y ArcSight. Puede descargar estos analizadores de mensajes de los sitios web de los sistemas SIEM correspondientes. Al configurar el receptor, puede seleccionar utilizar uno de los analizadores de mensajes estándar o un analizador de mensajes de Kaspersky.