关于配置 SIEM 系统中的事件导出

扩展所有 | 折叠所有

从 Kaspersky Security Center 导出事件到外部 SIEM 系统的进程设计两部分:事件发送者 — Kaspersky Security Center 和事件接收者 — SIEM 系统。必须在 SIEM 系统和 Kaspersky Security Center 中配置事件导出。

您在 SIEM 系统中指定的设置取决于您使用的系统。通常,对于所有 SIEM 系统,您必须设置接收器和消息解析器(可选)以解析接收的事件。

设置接收器

为了接收 Kaspersky Security Center 发送的事件,您必须在您的 SIEM 系统中设置接收器。通常,必须在 SIEM 系统指定以下设置:

根据所使用的 SIEM 系统,您可能需要指定一些附加接收器设置。

下图显示了 ArcSight 的接收器设置截图。

在 ArcSight 中,接收器设置屏幕位于配置选项卡上。接收器设置指定如下:接收器名称为 tcp cef,IP/Host 属性为 All,端口为 616,编码为 UTF-8,源类型为 CEF。

ArcSight 的接收器设置

消息解析器

导出的事件作为消息被传递到 SIEM 系统。这些消息必须正确解析,以便事件信息可以被 SIEM 系统使用。消息解析器是 SIEM 系统的一部分,它们用于拆分消息内容到相关字段,例如事件 ID、严重级别、描述、参数。这将启用 SIEM 系统以处理从 Kaspersky Security Center 接收的事件,以便它们可以被存储在 SIEM 系统数据库。

另请参阅:

方案:配置导出事件到 SIEM 系统

页顶