CEF және LEEF пішіміндегі оқиғаларды экспорттау туралы

CEF және LEEF пішімдерін, SIEM жүйесіне жалпы оқиғаларды, сондай-ақ Kaspersky бағдарламалары Басқару серверіне жіберген оқиғаларды экспорттау үшін пайдалануға болады. Экспортталатын оқиғалар жиынтығы алдын ала анықталған, экспортталатын оқиғаларды таңдау мүмкіндігі жоқ.

Экспорттау пішімін, сіз қолданатын SIEM жүйесіне байланысты таңдауға болады. Келесі кестеде SIEM жүйелері және оларға сәйкес экспорттау пішімдері келтірілген.

Оқиғаларды SIEM жүйесіне экспорттау пішімдері

SIEM жүйесі	Экспорттау пішімі
QRadar	LEEF
ArcSight	CEF
Splunk	CEF

• LEEF (Log Event Extended Format) — IBM Security QRadar SIEM үшін реттелген оқиға пішімі. QRadar платформасы LEEF оқиғаларын ендіріп, анықтап, өңдей алады. LEEF протоколы үшін UTF-8 кодтамасы қолданылуы керек. LEEF протоколы туралы толығырақ ақпаратты IBM Knowledge Center веб-бетінен қараңыз.
• CEF – бұл әртүрлі желілік құрылғылар мен қолданбалардың қауіпсіздік жүйесі ақпаратының үйлесімділігін жақсартатын "ашық журнал" типті басқару стандарты. CEF протоколы, кәсіпорынды басқару жүйелері талдауға арналған деректерді оңай алуы және біріктіруі үшін оқиғалар журналының жалпы пішімін пайдалануға мүмкіндік береді. CEF протоколы үшін UTF-8 кодтамасы қолданылуы керек.

Автоматты түрде экспорттау кезінде Kaspersky Security Center жалпы оқиғаларды SIEM жүйесіне жібереді. Оқиғаларды автоматты түрде экспорттау қосылғаннан кейін бірден басталады. Бұл бөлімде оқиғаларды автоматты түрде экспорттауды қосу рәсімі сипатталған.

Сондай-ақ, қараңыз: Сценарий: оқиғаларды SIEM жүйелеріне экспорттауды конфигурациялау

Басына оралу