يمكن استخدام تصدير الحدث في الأنظمة المركزية التي تتعامل مع مشكلات الأمان على المستوى التنظيمي والتقني، والتي توفر خدمات مراقبة الأمان، وتجمع المعلومات من الحلول المختلفة. وهذه هي أنظمة SIEM التي توفر التحليل الفوري لتحذيرات الأمان والأحداث التي تنشئها أجهزة الشبكة والتطبيقات، أو مراكز تشغيل الأمان (SOC).
يمكن لهذه الأنظمة استلام البيانات من العديد من المصادر، بما فيها الشبكات والأمان والخوادم وقواعد البيانات والتطبيقات. توفر أنظمة SIEM أيضًا وظيفة تجميع البيانات التي تم رصدها لمساعدتك في تجنب فقدان الأحداث الحرجة. إضافة إلى ذلك، تُجري الأنظمة تحليلاً تلقائيًا للأحداث والتحذيرات المترابطة لإخطار المسؤولين بمشاكل الأمان العاجلة. يمكن تنفيذ التحذير من خلال لوحة معلومات ويمكن إرسالها من خلال قنوات لجهات خارجية مثل البريد الإلكتروني.
تشتمل عملية تصدير الأحداث من Kaspersky Security Center إلى أنظمة SIEM الخارجية على طرفين: Kaspersky Security Center ومستلم الحدث – نظام SIEM. لتصدير حدث بنجاح، يجب عليك تكوين هذا الحدث في نظام SIEM وفي وحدة تحكم إدارة Kaspersky Security Center. لا يهم ما الطرف الذي تقوم بتكوينه أولاً. يمكنك تكوين نقل الأحداث في Kaspersky Security Center ثم تكوين مستلم الأحداث بواسطة نظام SIEM أو العكس.
طرق إرسال الأحداث من Kaspersky Security Center
توجد ثلاث طرق لإرسال الأحداث من Kaspersky Security Center إلى الأنظمة الخارجية:
باستخدام بروتوكول Syslog، يمكنك ترحيل أي من الأحداث التي تحدث في خادم إدارة Kaspersky Security Center وفي تطبيقات Kaspersky المثبتة على الأجهزة المدارة. بروتوكول Syslog هو بروتوكول قياسي لتسجيل الرسائل. يمكنك استخدامه لتصدير الأحداث إلى أي نظام SIEM.
لهذا الغرض، تحتاج إلى تحديد الأحداث التي تريد ترحيلها إلى نظام SIEM. يمكنك وضع علامة على الأحداث في وحدة تحكم الإدارة أو Kaspersky Security Center Web Console. سيتم ترحيل الأحداث التي تم وضع علامة عليها فقط إلى نظام SIEM. إذا لم تضع علامة على أي شيء، فلن يتم ترحيل أي أحداث.
يمكنك استخدام بروتوكولي CEF وLEEF لتصدير الأحداث العامة . عند تصدير الأحداث عبر بروتوكولات CEF وLEEF، فلن يكون لديك إمكانية تحديد أحداث محددة لتصديرها. وبدلاً من ذلك، يتم تصدير جميع الأحداث العامة. خلافًا لبروتوكول Syslog، لا تعتبر البروتوكولات CEF وLEEF بروتوكولات عامة. تكون البروتوكولات CEF وLEEF مخصصة لأنظمة SIEM المناسبة (QRadar وSplunk وArcSight). لذا، عند اختيارك لتصدير الأحداث عبر واحد من هذه البروتوكولات، فستستخدم المحلل المطلوب في نظام SIEM.
يمكن استخدام هذه الوسيلة الخاصة بتصدير الأحداث لاستلام الأحداث مباشرةً من طرق العرض العامة لقاعدة البيانات باستخدام استعلامات SQL. يتم حفظ نتائج الاستعلام على ملف XML يمكن استخدامه كبيانات إدخال لنظام خارجي. يمكن تصدير الأحداث المتاحة فقط في الرؤى العامة مباشرة من قاعدة البيانات.
استلام الأحداث بواسطة نظام SIEM
يجب أن يستلم نظام SIEM الأحداث المحللة بشكل صحيح والمستلمة من Kaspersky Security Center. لهذه الأغراض يجب عليك تكوين نظام SIEM على النحو الصحيح. يعتمد التكوين على نظام SIEM المحدد الذي تم استخدامه. ومع ذلك، يوجد عدد من الخطوات العامة في تكوين جميع أنظمة SIEM، مثل تكوين المستلم والمحلل.