حول تكوين تصدير الحدث في نظام SIEM

توسيع الكل | طي الكل

تشتمل عملية تصدير الأحداث من Kaspersky Security Center إلى أنظمة SIEM الخارجية على طرفين: Kaspersky Security Center ومستلم الحدث – نظام SIEM. يجب عليك تكوين عملية تصدير الأحداث في نظام SIEM الخاص بك وفي Kaspersky Security Center.‏

تعتمد الإعدادات التي تحددها في نظام SIEM على النظام المحدد الذي تستخدمه. بوجه عام، بالنسبة إلى جميع الأجهزة يتعين عليك إعداد المستلم، ولك الخيار، في إعداد محلل الرسالة لتحليل الأحداث المستلمة.

إعداد المستلم

لاستلام الأحداث التي يرسلها Kaspersky Security Center، يجب عليك إعداد المستلم في نظام SIEM الخاص بك. بوجه عام، يجب تحديد الإعدادات التالية في نظام SIEM.‏

• تصدير بروتوكول أو نوع إدخال‏

  هذا هو بروتوكول نقل الرسالة، إما أن يكون TCP/IP أو UDP. يجب أن يكون هذا البروتوكول مطابقًا لما حددته في Kaspersky Security Center.‏

• المنفذ‏

  رقم المنفذ للاتصال بـ Kaspersky Security Center. يجب أن يكون هذا المنفذ مطابقًا لما حددته في Kaspersky Security Center.‏

• بروتوكول الرسالة أو نوع المصدر‏

  البروتوكول المستخدم لتصدير الأحداث إلى نظام SIEM. يمكن أن يكون أحد البروتوكولات القياسية: Syslog أو CEF أو LEEF.‏ يحدد نظام SIEM محلل الرسالة وفقًا للبروتوكول الذي تحدده.

بناءً على نظام SIEM الذي تستخدمه، قد يتعين عليك تحديد بعض الإعدادات الإضافية للمستلم.

يوضح الشكل أدناه شاشة إعداد جهاز الاستقبال في ArcSight.‏

إعداد المستلم في ArcSight

محلل الرسالة

يتم تمرير الأحداث التي تم تصديرها إلى أنظمة SIEM كرسائل. يجب تحليل هذه الرسائل على النحو الصحيح حتى يتسنى استخدام معلومات الأحداث بواسطة نظام SIEM. تمثل محللات الرسالة جزءًا من نظام SIEM، إذ تُستخدم لتجزئة محتويات الرسالة في الحقول ذات الصلة، مثل معرف الحدث والخطورة والوصف والمعلمات وما إلى ذلك. يتيح هذا الإجراء لنظام SIEM معالجة الأحداث المستلمة من Kaspersky Security Center حتى يمكن تخزينها في قاعدة بيانات نظام SIEM.‏

انظر أيضًا: السيناريو: تكوين تصدير الحدث إلى نظام SIEM

أعلى الصفحة