从 Kaspersky Security Center 导出事件到外部 SIEM 系统的进程设计两部分:事件发送者 — Kaspersky Security Center 和事件接收者 — SIEM 系统。必须在 SIEM 系统和 Kaspersky Security Center 中配置事件导出。
您在 SIEM 系统中指定的设置取决于您使用的系统。通常,对于所有 SIEM 系统,您必须设置接收器和消息解析器(可选)以解析接收的事件。
设置接收器
为了接收 Kaspersky Security Center 发送的事件,您必须在您的 SIEM 系统中设置接收器。通常,必须在 SIEM 系统指定以下设置:
根据所使用的 SIEM 系统,您可能需要指定一些附加接收器设置。
下图显示了 ArcSight 的接收器设置截图。
ArcSight 的接收器设置
消息解析器
导出的事件作为消息被传递到 SIEM 系统。这些消息必须正确解析,以便事件信息可以被 SIEM 系统使用。消息解析器是 SIEM 系统的一部分,它们用于拆分消息内容到相关字段,例如事件 ID、严重级别、描述、参数。这将启用 SIEM 系统以处理从 Kaspersky Security Center 接收的事件,以便它们可以被存储在 SIEM 系统数据库。