Оқиғаларды SIEM жүйесінде экспорттауды конфигурациялау туралы
Оқиғаларды Kaspersky Security Center Linux-тен сыртқы SIEM жүйелеріне экспорттау рәсіміне екі тарап қатысады: оқиғаларды жіберуші – Kaspersky Security Center Linux және оқиғаларды алушы – SIEM жүйесі. Оқиғаларды экспорттау, қолданылатын SIEM жүйесінде және Kaspersky Security Center Linux-де конфигурациялануы керек.
SIEM жүйесінде орындалатын конфигурациялар сіз қолданатын жүйеге байланысты болып келеді. Жалпы жағдайда, алынған хабарларды өрістерге жаю үшін, барлық SIEM жүйелеріне хабар қабылдағышты және қажет болса, хабар талдағышты конфигурациялау керек.
Хабар қабылдағышты конфигурациялау
SIEM жүйесі үшін Kaspersky Security Center Linux жіберетін оқиғаларды қабылдау үшін қабылдағышты конфигурациялау қажет. Жалпы жағдайда, SIEM жүйесінде келесі параметрлерді көрсету керек:
- Экспорттау протоколы
UDP, TCP немесе TLS, TCP арқылы хабарларын жіберу протоколы. Kaspersky Security Center Linux-де оқиғаларды жіберу үшін таңдалған протоколды көрсету керек.
- Порт
Kaspersky Security Center Linux-ке қосылуға арналған порт нөмірін көрсетіңіз. Бұл порт оқиғаны SIEM жүйесіне экспорттауды конфигурациялау кезінде Kaspersky Security Center Linux жүйесінде көрсеткен портқа сәйкес келуі керек.
- Күн пішімі
Syslog пішімін көрсетіңіз.
Қолданылатын SIEM жүйесіне байланысты, хабар қабылдағыштың қосымша параметрлерін көрсету қажет болуы мүмкін.
Төмендегі суретте, қабылдағышты ArcSight-та конфигурациялау мысалы келтірілген.
Қабылдағышты ArcSight-та конфигурациялау
Хабарлар талдағышы
Экспортталатын оқиғалар SIEM жүйесіне хабарлар түрінде беріледі. Содан соң, оқиғалар туралы ақпарат SIEM жүйесіне тиісінше берілуі үшін, осы хабарларға талдағыш қолданылады. Хабарлар талдағышы SIEM жүйесіне кіріктірілген; ол хабарды хабар идентификаторы, маңыздылық деңгейі, сипаттамасы, параметрлері сияқты өрістерге бөлу үшін қолданылады. Нәтижесінде, SIEM жүйесі Kaspersky Security Center Linux-ден алынған оқиғаларды SIEM жүйесінің дерекқорында сақталатындай етіп өңдеу мүмкіндігіне ие.