Über das Konfigurieren des Ereignisexports in ein SIEM-System
Alle erweitern | Alles ausblenden
Am Ablauf des Ereignisexports aus Kaspersky Security Center in die externen SIEM-Systeme sind zwei Seiten beteiligt: der Absender der Ereignisse – Kaspersky Security Center – und der Empfänger der Ereignisse – das SIEM-System. Der Ereignisexport wird im verwendeten SIEM-System und in Kaspersky Security Center angepasst.
Die Einstellungen, die im SIEM-System vorgenommen werden, sind vom System abhängig, das Sie verwenden. Im Allgemeinen müssen für alle SIEM-Systeme der Empfänger der Nachrichten und, falls erforderlich, der Nachrichtenparser angepasst werden, damit die erhaltenen Nachrichten auf die Felder verteilt werden können.
Einstellungen des Empfängers der Nachrichten
Für das SIEM-Systems muss der Empfänger für den Erhalt der Ereignisse, die von Kaspersky Security Center gesendet werden, angepasst werden. Im Allgemeinen müssen im SIEM-System die folgenden Einstellungen angegeben werden:
- Exportprotokoll oder Typ der Eingangsdaten
- Port
- Übertragungsprotokoll der Nachrichten oder Typ der Quelldaten
Je nachdem, welches SIEM-System Sie verwendetem, kann es erforderlich sein, erweiterte Einstellungen für den Empfänger der Nachrichten anzugeben.
Auf der unteren Abbildung dienen die Einstellungen des Empfängers in ArcSight als Beispiel.
Einstellungen des Empfängers in ArcSight
Nachrichtenparser
Die exportierten Ereignisse werden in Form von Nachrichten an das SIEM-System übergeben. Dann wird für diese Nachrichten der Parser verwendet, damit die Informationen über die Ereignisse entsprechend ins SIEM-System übergeben werden. Die Nachrichtenparser sind im SIEM-System integriert und werden für die Aufteilung der Nachrichten in Felder wie Nachrichten-ID, Signifikanz, Beschreibung und Parameter verwendet. Daraufhin hat das SIEM-System die Möglichkeit, die Ereignisse, die aus Kaspersky Security Center empfangen werden, so zu verarbeiten, dass sie in der Datenbank des SIEM-Systems gespeichert werden.