Configurazione di Kaspersky Security Center per l'esportazione degli eventi nel sistema SIEM

Espandi tutto | Comprimi tutto

È possibile abilitare l'esportazione automatica degli eventi in Kaspersky Security Center.

È possibile esportare solo gli eventi generali dalle applicazioni gestite tramite i formati CEF e LEEF.  Gli eventi specifici delle applicazioni non possono essere esportati dalle applicazioni gestite tramite i formati CEF e LEEF. Se si desidera esportare gli eventi delle applicazioni gestite o un set di eventi personalizzato che è stato configurato tramite i criteri delle applicazioni gestite, è necessario esportare gli eventi nel formato Syslog.

Per abilitare l'esportazione automatica degli eventi:

1. Nella struttura della console di Kaspersky Security Center, selezionare l'Administration Server per cui si desidera esportare gli eventi.
2. Nell'area di lavoro dell'Administration Server selezionato, selezionare la scheda Eventi.
3. Fare clic sulla freccia a discesa accanto al collegamento Configura notifiche ed esportazione eventi e selezionare Configura esportazione nel sistema SIEM nell'elenco a discesa.

   Verrà visualizzata la finestra delle proprietà degli eventi, con la sezione Esportazione degli eventi visualizzata.

4. Nella sezione Esportazione degli eventi specificare le seguenti impostazioni di esportazione:

   

   Sezione di esportazione degli eventi della finestra delle proprietà dell'evento

   • Esporta automaticamente gli eventi nel database del sistema SIEM

     Selezionare questa casella di controllo per abilitare l'esportazione automatica degli eventi nei sistemi SIEM. Selezionando questa casella di controllo vengono abilitati tutti i campi nella sezione Esportazione degli eventi.

   • Sistema SIEM

     Selezionare il sistema SIEM per l'esportazione degli eventi: QRadar® (formato LEEF), ArcSight (formato CEF), Splunk® (formato CEF) e formato Syslog (RFC 5424).

   • Indirizzo server del sistema SIEM

     Specificare l'indirizzo server del sistema SIEM. Un indirizzo può essere specificato come nome DNS o NetBIOS o come indirizzo IP.

   • Porta server del sistema SIEM

     Specificare il numero della porta per la connessione al server del sistema SIEM. Il numero della porta deve essere identico a quello utilizzato dal sistema SIEM per ricevere gli eventi (per informazioni dettagliate vedere la sezione Configurazione di un sistema SIEM).

   • Protocollo

     Selezionare il protocollo da utilizzare per il trasferimento dei messaggi al sistema SIEM. È possibile selezionare il protocollo UDP o TCP/IP. TCP/IP è più sicuro poiché supporta le conferme alla ricezione del messaggio. UDP è un protocollo più semplice ed è indicato nei casi in cui la correzione e la verifica degli errori non sono necessarie o vengono eseguite nell'applicazione.

   Se si seleziona il formato Syslog, è necessario specificare:

   • Dimensioni massime messaggi (byte)

     Specificare la dimensione massima (in byte) di un messaggio inviato al sistema SIEM. Ciascun evento viene inviato in un messaggio. Se la durata effettiva di un messaggio è superiore al valore specificato, il messaggio viene troncato e può verificarsi una perdita di dati. Le dimensioni predefinite sono 2048 byte. Questo campo è disponibile solo se stato è selezionato il formato Syslog nel campo Sistema SIEM.

5. Se si desidera esportare nel database del sistema SIEM gli eventi che si verificavano dopo una data specificata in precedenza, fare clic sul pulsante Esporta archivio e specificare la data di avvio dell'esportazione degli eventi. Per impostazione predefinita, l'esportazione degli eventi viene avviata subito dopo l'abilitazione.
6. Fare clic su OK.

L'esportazione automatica degli eventi è abilitata.

Dopo aver abilitato l'esportazione automatica degli eventi, è necessario selezionare gli eventi da esportare nel sistema SIEM.

Vedere anche: Scenario: configurazione dell'esportazione di eventi nei sistemi SIEM Contrassegno degli eventi per l'esportazione nei sistemi SIEM in formato Syslog

Inizio pagina