Configuration de Kaspersky Security Center pour l'exportation des événements vers le système SIEM

Tout développer | Tout réduire

Vous pouvez activer l'exportation automatique des événements dans Kaspersky Security Center.

Seuls les événements généraux peuvent être exportés depuis les applications administrées aux formats CEF et LEEF.  Les événements propres aux applications ne peuvent pas être exportés depuis les applications administrées aux formats CEF et LEEF. Si vous devez exporter les événements des applications administrées ou un ensemble d'événements défini par l'utilisateur et configuré à l'aide des stratégies des applications administrées, vous devez exporter les événements dans le format Syslog.

Pour activer l'exportation automatique des événements, procédez comme suit :

1. Dans l'arborescence de la console de Kaspersky Security Center, sélectionnez l'entrée qui porte le nom du Serveur d'administration dont il faut exporter les événements.
2. Dans l'espace de travail du Serveur d'administration sélectionné, sélectionnez l'onglet Événements.
3. Cliquez sur la flèche déroulante en regard du lien Configurer les paramètres des notifications et d'exportation des événements et sélectionnez Configurer l'exportation vers le système SIEM dans la liste déroulante.

   La fenêtre des propriétés des événements s'ouvre, affichant la section Exportation d'événement.

4. Dans la section Exportation d'événement, définissez les paramètres d'exportation suivants :

   

   Section Exportation des événements de la fenêtre des propriétés des événements

   • Exporter automatiquement les événements dans la base du système SIEM

     Cochez cette case pour activer l'exportation automatique des événements dans le système SIEM. Si vous cochez cette case, tous les champs de la section Exportation des événements peuvent être modifiés.

   • Système SIEM

     Sélectionnez le système SIEM pour exporter les événements suivants : QRadar® (format LEEF), ArcSight (format CEF), Splunk® (format CEF) et format Syslog (RFC 5424).

   • Adresse du serveur du système SIEM

     Renseignez l'adresse du serveur du système SIEM. L'adresse du serveur peut être renseignée au format DNS, sous la forme du nom NetBIOS ou en tant qu'adresse IP.

   • Port du serveur du système SIEM

     Indiquez le numéro de port pour la connexion au serveur du système SIEM. Ce numéro doit correspondre au numéro de port défini dans les paramètres du récepteur du système SIEM pour recevoir les événements (cf. section Configuration du système SIEM).

   • Protocole

     Choisissez le protocole de transfert des messages dans le système SIEM. Vous avez le choix entre le protocole TCP/IP ou UDP. Le protocole TCP/IP est plus fiable et prend en charge les notifications sur la réception de messages. Le protocole UDP est plus simple. Il intervient dans les cas où l'analyse et la correction des erreurs de transmission des messages ne sont pas obligatoires ou quand elles sont exécutées au sein de l'application.

   Si vous sélectionnez le format Syslog, vous devez spécifier :

   • Taille maximale du message en octets

     Indiquez la taille maximale en octets d'un message transmis au système SIEM. Chaque événement entraîne l'envoi d'un message. Si la longueur réelle du message dépasse la valeur indiquée, le message est tronqué et vous risquez de perdre des données. Par défaut, la taille du message est de 2048 octets. Ce champ est accessible uniquement si vous avez choisi le format Syslog dans le champ Système SIEM.

5. Si vous souhaitez exporter vers la base de données système SIEM les événements survenus après une date définie dans le passé, cliquez sur le bouton Exporter l'archive et indiquez la date à partir de laquelle les événements seront exportés. Par défaut, l'exportation des événements débute directement après l'activation.
6. Cliquez sur le bouton OK.

L'exportation automatique des événements est activée.

Une fois que l'exportation automatique des événements a été activée, il faut sélectionner les événements à exporter dans le système SIEM.

Voir également : Scénario : configuration de l'export d'événements vers des systèmes SIEM Marquage des événements pour l'export vers les systèmes SIEM au format Syslog

Haut de page