Acerca de la configuración de la exportación de eventos en un sistema SIEM

El proceso de exportar eventos desde Kaspersky Security Center a sistemas SIEM externos involucra a dos partes: un remitente del evento – Kaspersky Security Center y un destinatario del evento – sistema SIEM. Debe configurar la exportación de eventos en su sistema SIEM y en Kaspersky Security Center.

La configuración que especifica en el sistema SIEM dependerá del sistema que usted esté usando. Generalmente, para todos los sistemas SIEM debe configurar un receptor y, opcionalmente, un analizador sintáctico del mensaje para analizar los eventos recibidos.

Configuración del receptor

Para poder recibir los eventos enviados por Kaspersky Security Center, debe configurar el receptor en su sistema SIEM. En general, la configuración siguiente se debe especificar en el sistema SIEM:

Protocolo de exportación o tipo de entrada
Es el protocolo de transferencia del mensaje, TCP/IP o UDP. Este protocolo debe ser el mismo que el protocolo que especificó en Kaspersky Security Center.
Puerto
Número de puerto para conectar con Kaspersky Security Center. Este puerto debe ser igual que el puerto que especificó en Kaspersky Security Center.
Protocolo del mensaje o tipo de la fuente
El protocolo utilizado para exportar eventos al sistema SIEM. Puede ser uno de los protocolos estándar: Syslog, CEF o LEEF. El sistema SIEM selecciona el analizador sintáctico del mensaje según el protocolo que especifica.

Según el sistema SIEM que utilice, es posible que deba especificar la configuración del receptor adicional.

La cifra siguiente muestra la pantalla de instalación del receptor en ArcSight.

En ArcSight, la pantalla de configuración del receptor se encuentra en la pestaña Configuración. La configuración del receptor se especifica de la siguiente manera: el nombre del receptor es tcp cef, la propiedad IP/Host es Todo, el Puerto es 616, la Codificación es UTF-8, el Tipo de fuente es CEF.

Instalación del receptor en ArcSight

Analizador sintáctico del mensaje

Los eventos de Exportar se transfieren a sistemas SIEM como mensajes. Estos mensajes se deben analizar correctamente de modo que la información sobre los eventos se pueda utilizar por el sistema SIEM. Los analizadores sintácticos de los mensajes son una parte del sistema SIEM; se utilizan para dividir los contenidos del mensaje en los campos relevantes, como ID del evento, gravedad, descripción, parámetros, etc. Esto permite al sistema SIEM procesar eventos recibidos de Kaspersky Security Center de modo que se puedan almacenar en la base de datos del sistema SIEM.

Cada sistema SIEM tiene un conjunto de analizadores de mensajes estándar. Kaspersky también proporciona analizadores de mensajes para algunos sistemas SIEM, por ejemplo, para QRadar y ArcSight. Puede descargar estos analizadores de mensajes de los sitios web de los sistemas SIEM correspondientes. Al configurar el receptor, puede seleccionar utilizar uno de los analizadores de mensajes estándar o un analizador de mensajes de Kaspersky.

Consulte también:

Configuración de la exportación de eventos a sistemas SIEM

Subir