Sobre a exportação de eventos usando formatos CEF e LEEF
Você pode usar os formatos CEF e LEEF para exportar eventos gerais, bem como eventos transferidos pelos aplicativos Kaspersky para o Servidor de Administração. O conjunto de eventos exportado é predefinido, e você não pode selecionar os eventos a ser exportados.
Selecione o formato de exportação com base no sistema SIEM usado. A tabela abaixo mostra os sistemas SIEM e os formatos de exportação correspondentes.
Formatos da exportação de eventos para um sistema SIEM
SIEM system
Formato de exportação
QRadar
LEEF
ArcSight
CEF
Splunk
CEF
LEEF (Formato Estendido de Evento de Log) – Um formato de evento customizado para o IBM Security QRadar SIEM. O QRadar pode integrar, identificar e processar eventos LEEF. Os eventos de LEEF devem usar a codificação de caractere UTF-8. Você pode encontrar as informações detalhadas sobre o protocolo LEEF no IBM Knowledge Center.
CEF (Formato de Evento Comum) – Um padrão de gerenciamento de registro aberto que aprimora a interoperabilidade da informação relativa a segurança de diferentes dispositivos de segurança e de rede e aplicativos. O CEF lhe permite usar um formato de registro de evento comum para que os dados possam ser facilmente integrados e agregados para a análise por um sistema de gerenciamento corporativo. Os eventos de CEF devem usar a codificação de caractere UTF-8.
A exportação automática significa que o Kaspersky Security Center envie eventos gerais ao sistema SIEM. A exportação automática de eventos inicia imediatamente após você a ativar. Esta seção explica detalhadamente como ativar a exportação automática de eventos.