О настройке экспорта событий в SIEM-системе
В процедуре экспорта событий из Kaspersky Single Management Platform во внешние SIEM-системы участвуют две стороны: отправитель событий – Kaspersky Single Management Platform и получатель событий – SIEM-система. Экспорт событий необходимо настроить в используемой SIEM-системе и в Kaspersky Single Management Platform.
Настройки, выполняемые в SIEM-системе, зависят от того, какую систему вы используете. В общем случае для всех SIEM-систем необходимо настроить приемник сообщений и, при необходимости, анализатор сообщений, для того чтобы разложить полученные сообщения на поля.
Настройка приемника сообщений
Для SIEM-системы необходимо настроить приемник для получения событий, отправляемых Kaspersky Single Management Platform. В общем случае в SIEM-системе необходимо указать следующие параметры:
- Протокол экспорта
Протокол передачи сообщений UDP, TCP или TLS, over TCP. Необходимо указать тот же протокол, который был выбран в Kaspersky Single Management Platform для передачи событий.
- Порт
Укажите номер порта для подключения к Kaspersky Single Management Platform. Этот порт должен совпадать с портом, который вы указываете в Kaspersky Single Management Platform при настройке экспорта событий в SIEM-систему.
- Формат даты
Укажите формат Syslog.
В зависимости от используемой SIEM-системы может потребоваться указать дополнительные параметры приемника сообщений.
На рисунке ниже приведен пример настройки приемника в ArcSight.
Настройка приемника в ArcSight
Анализатор сообщений
Экспортируемые события передаются в SIEM-систему в виде сообщений. Затем к этим сообщениям применяется анализатор, для того чтобы информация о событиях была должным образом передана в SIEM-систему. Анализатор сообщений встроен в SIEM-систему; он используется для разбиения сообщения на поля, такие как идентификатор сообщения, уровень важности, описание и прочие параметры. В результате SIEM-система имеет возможность выполнять обработку событий, полученных из Kaspersky Single Management Platform, таким образом, чтобы они сохранялись в базе данных SIEM-системы.
В каждой SIEM-системе имеется набор стандартных анализаторов сообщений. "Лаборатория Касперского" также предоставляет анализаторы сообщений для некоторых SIEM-систем, например, для QRadar и ArcSight. Вы можете загрузить эти анализаторы сообщений с веб-страниц соответствующих SIEM-систем. При настройке приемника можно выбрать используемый анализатор сообщений: один из стандартных анализаторов или анализатор, предоставляемый "Лабораторией Касперского".