조직 및 기술 레벨에서 보안 문제를 처리하고, 보안 모니터링 서비스를 제공하고, 여러 솔루션의 정보를 통합하는 중앙 집중식 시스템 내에서 이벤트 내보내기를 사용할 수 있습니다. 네트워크 하드웨어 및 애플리케이션이나 SOC(보안 운영 센터)에서 생성하는 보안 경고와 이벤트의 실시간 분석 기능을 제공하는 이러한 시스템을 SIEM 시스템이라고 합니다.
이러한 시스템은 네트워크, 보안, 서버, 데이터베이스, 애플리케이션 등의 여러 경로에서 데이터를 수집할 수 있습니다. 또한 SIEM 시스템은 심각 이벤트 누락을 방지할 수 있도록 모니터링된 데이터를 통합하는 기능도 제공합니다. 그리고 곧 발생할 것으로 예상되는 보안 문제를 관리자에게 알리기 위해 상관 관계가 지정된 이벤트와 경고의 자동 분석도 수행합니다. 경고는 대시보드를 통해 구현할 수도 있고 이메일 등의 타사 채널을 통해 전송할 수도 있습니다.
Kaspersky Security Center에서 외부 SIEM 시스템으로 이벤트를 내보내는 프로세스의 당사자는 이벤트 발신자(Kaspersky Security Center)와 이벤트 수신자(SIEM 시스템)입니다. 이벤트를 성공적으로 내보내려면 SIEM 시스템 및 Kaspersky Security Center 관리 콘솔에서 이를 구성해야 합니다. 구성 순서는 중요하지 않습니다. 즉, Kaspersky Security Center에서 이벤트 전송을 구성한 후에 SIEM 시스템의 이벤트 수신을 구성할 수도 있고 그 반대 순서로 구성할 수도 있습니다.
Kaspersky Security Center에서 이벤트를 보내는 방법
다음의 세 가지 방법으로 Kaspersky Security Center에서 외부 시스템으로 이벤트를 보낼 수 있습니다:
Syslog 프로토콜을 사용하는 경우 Kaspersky Security Center 중앙 관리 서버 및 관리 중인 기기에 설치된 Kaspersky 애플리케이션에서 발생하는 모든 이벤트를 전달할 수 있습니다. Syslog 프로토콜은 표준 메시지 로깅 프로토콜입니다. SIEM 시스템으로 이벤트를 내보내는 데 사용할 수 있습니다.
이를 위해 SIEM 시스템에 릴레이할 이벤트를 표시해야 합니다. 관리 콘솔 또는 Kaspersky Security Center 13.2 웹 콘솔에서 이벤트를 표시할 수 있습니다. 표시된 이벤트만 SIEM 시스템으로 릴레이됩니다. 아무것도 표시하지 않으면 이벤트가 릴레이되지 않습니다.
CEF 및 LEEF 프로토콜을 사용하여 일반 이벤트를 내보낼 수 있습니다. CEF 및 LEEF 프로토콜을 통해 이벤트를 내보낼 때는 내보낼 특정 이벤트를 선택할 수 없습니다. 대신 모든 일반 이벤트가 내보내집니다. Syslog 프로토콜과는 달리 CEF 및 LEEF 프로토콜은 범용 프로토콜이 아닙니다. CEF 및 LEEF는 QRadar, Splunk, ArcSight 등의 적합한 SIEM 시스템용 프로토콜입니다. 그러므로 이러한 프로토콜 중 하나를 통해 이벤트를 내보내도록 선택하는 경우에는 SIEM 시스템에서 필요한 파서를 사용합니다.
CEF 및 LEEF 프로토콜을 통해 이벤트를 내보내려면 중앙 관리 서버에서 활성 라이센스 키 또는 유효한 활성화코드를 사용하여 .SIEM 시스템과의 통합 기능을 활성화해야 합니다.
SQL 쿼리를 사용하여 데이터베이스 공용 보기에서 이벤트를 직접 받으려는 경우 이러한 이벤트 내보내기 방법을 사용할 수 있습니다. 쿼리 결과는 외부 시스템의 입력 데이터로 사용 가능한 XML 파일에 저장됩니다. 공용 보기에서 제공되는 이벤트만 데이터베이스에서 직접 내보낼 수 있습니다.
SIEM 시스템의 이벤트 수신
SIEM 시스템은 Kaspersky Security Center에서 이벤트를 받아서 올바르게 구문 분석해야 합니다. 따라서 SIEM 시스템을 적절하게 구성해야 합니다. 구성은 사용하는 특정 SIEM 시스템에 따라 달라집니다. 그러나 수신기와 파서 구성 등 모든 SIEM 시스템 구성에서 일반적으로 수행하는 여러 단계가 있습니다.