L'exportation des événements peut être utilisée dans les systèmes centralisés qui traitent des questions de sécurité au niveau organisationnel et technique, qui surveillent les systèmes de sécurité et consolident les données issues de différentes solutions. Parmi ces système, il y a les systèmes SIEM qui garantissent l'analyse des alertes des systèmes de sécurité et des événements de la configuration matérielle réseau et des applications en temps réel, sans oublier les centres d'administration de la sécurité (Security Operation Center, SOC).
Les systèmes SIEM récoltent des données auprès de différentes sources, dont des réseaux des systèmes de sécurité, des serveurs, des bases de données et des applications. Ils assurent aussi la fonction de regroupement des données traitées, ce qui ne vous permet pas d'ignorer les événements critiques. De plus, ces systèmes exécutent l'analyse automatique des événements associés et des signaux d'alerte pour prévenir les administrateurs des problèmes du système de sécurité qui requièrent une solution immédiate. Les notifications peuvent s'afficher sur les barres des indicateurs ou être envoyées par des canaux tiers, par exemple, par email.
La procédure d'exportation des événements de Kaspersky Security Center vers les systèmes SIEM externes fait intervenir deux parties : l'expéditeur des événements, Kaspersky Security Center et le destinataire des événements, le système SIEM. Pour que l'exportation des événements réussisse, il faut réaliser une configuration dans le système SIEM utilisé et dans la Console d'administration de Kaspersky Security Center. L'ordre des configurations n'a pas d'importance : Vous pouvez commencer par configurer l'envoi des événements à Kaspersky Security Center, puis passer à la configuration de la réception de ceux-ci du côté du système SIEM ou inversement.
Modes d'envoi des événements de Kaspersky Security Center
Il existe trois modes d'envoi des événements depuis Kaspersky Security Center vers les systèmes externes :
Le protocole Syslog permet de transmettre n'importe quel événement survenu sur le Serveur d'administration de Kaspersky Security Center et dans les applications de Kaspersky installées sur les appareils administrés. Lors de l'exportation des événements selon le protocole Syslog vous pouvez choisir exactement les événements qu'il faut transmettre au système SIEM. Le protocole Syslog est un protocole standard d'enregistrement de messages. Pour cette raison, vous pouvez utiliser le protocole Syslog lors de l'exportation des événements vers n'importe quel système SIEM.
Vous pouvez utiliser les protocoles CEF et LEEF pour exporter des événements généraux. Dans le cadre de l'exportation des événements via les protocoles CEF et LEEF, vous ne pouvez pas sélectionner les événements à exporter. Tous les événements généraux sont exportés. A la différence du protocole Syslog, les protocoles CEF et LEEF ne sont pas universels. CEF et LEEF sont destinés aux systèmes SIEM correspondants (QRadar, Splunk et ArcSight). Par conséquent, quand vous décidez d'exporter des événements via un de ces protocoles, vous devez utiliser l'analyseur requis dans le système SIEM.
Pour exporter les événements via les protocoles CEF et LEEF, la fonction d'intégration aux systèmes SIEM doit être activée dans le Serveur d'administration à l'aide d'une clé de licence active ou d'un code d'activation valide.
Ce mode d'exportation des événements peut être utilisé pour obtenir des événements directement depuis les représentations publiques de la base de données avec l'l'aide des de requêtes SQL. Les résultats de l'exécution de la requête sont enregistrés dans le fichier .xml qui peut être utilisé pour les données d'entrée du système externe. L'exportation directe depuis la base de données concerne uniquement les événements accessibles dans les représentations publiques.
Réception des événements par le système SIEM
Le système SIEM doit accepter et analyser correctement les événements en provenance de Kaspersky Security Center. Il faut pour cela configurer le système SIEM. La configuration dépend du système SIEM utilisé en particulier. Toutefois, il existe une série d'étapes communes à l'ensemble des systèmes SIEM : la configuration du récepteur et de l'analyseur.