Über das Exportieren von Ereignissen mittels der Formate CEF und LEEF
Die CEF- und LEEF-Formate können verwendet werden, um allgemeine Ereignisse und Ereignisse, die von Kaspersky-Programmen an den Administrationsserver übertragen werden, in SIEM-Systeme zu exportieren. Der Satz der zu exportierenden Ereignisse ist vordefiniert, es gibt keine Möglichkeit, die zu exportierenden Ereignisse auszuwählen.
Das Exportformat kann abhängig vom verwendeten SIEM-System ausgewählt werden. In der folgenden Tabelle sind die SIEM-Systeme und die ihnen entsprechenden Exportformate angeführt.
Formate für den Ereignisexport in ein SIEM-System
SIEM-System
Exportformat
QRadar
LEEF
ArcSight
CEF
Splunk
CEF
LEEF (Log Event Extended Format) ist ein spezielles Format für Ereignisprotokollierung in IBM Security QRadar SIEM. QRadar kann Ereignisse, die gemäß dem LEEF-Protokoll übergeben werden, sammeln, identifizieren und bearbeiten. Für das LEEF-Protokoll muss die UTF-8-Kodierung verwendet werden. Ausführlicheren Informationen über das LEEF-Protokoll finden Sie im IBM Knowledge Center.
CEF ist ein Standard der Verwaltung vom Typ "offenes Protokoll", der die Kompatibilität der Informationen des Sicherheitssystems verschiedener Netzwerkgeräte und Apps verbessert. Das CEF-Protokoll ermöglicht die Verwendung eines allgemeinen Formats für das Ereignisprotokoll, damit die Managementsysteme für Unternehmen die Daten für die Analyse problemlos abrufen und zusammenfassen können. Für das CEF-Protokoll muss die UTF-8-Kodierung verwendet werden.
Automatischer Export bedeutet, dass Kaspersky Security Center die allgemeinen Ereignisse ins SIEM-System sendet. Der automatische Export der Ereignisse beginnt sofort nach der Aktivierung. In diesem Abschnitt ist der Ablauf zur Aktivierung des automatischen Exports von Ereignissen beschrieben.