تصدير الأحداث باستخدام تنسيقات CEF وLEEF

يمكنك استخدام تنسيقات CEF وLEEF لتصدير الأحداث العامة إلى أنظمة SIEM، وكذلك الأحداث التي تنقلها تطبيقات Kaspersky إلى خادم الإدارة. تم تحديد مجموعة تصدير الأحداث مسبقًا، ولا يمكنك تحديد أحداث لتصديرها.

لتصدير الأحداث عبر بروتوكولات CEF وLEEF، يجب تنشيط ميزة التكامل مع أنظمة SIEM في خادم الإدارة باستخدام مفتاح ترخيص نشط أو رمز تنشيط صالح.‏

حدد تنسيق التصدير بناءً على نظام SIEM المستخدم. يوضح الجدول أدناه أنظمة SIEM وتنسيقات التصدير المطابقة.

تنسيقات تصدير الحدث إلى نظام SIEM

نظام SIEM	تنسيق التصدير
QRadar	LEEF
ArcSight	CEF
Splunk	CEF

• LEEF (التنسيق الموسع لحدث السجل)— هو تنسيق حدث مخصص لـ IBM Security QRadar SIEM. بحيث يمكن لـ QRadar دمج وتحديد ومعالجة أحداث LEEF. يجب أن تستخدم أحداث LEEF ترميز أحرف UTF-8. يمكنك العثور على المعلومات المفصلة حول بروتوكول LEEF في مركز معرفة IBM‏.‏
• CEF (تنسيق الحدث العام)—مقياس لإدارة سجل مفتوح يعمل على تحسين إمكانية التشغيل التفاعلي للمعلومات المرتبطة بالأمان من مختلف أجهزة الشبكة وتطبيقات الأمان. يتيح لك تنسيق CEF استخدام تنسيق تسجيل حدث عام حتى تتمكن من تضمين البيانات بسهولة لتحليلها بواسطة نظام إدارة المؤسسة.

يمثل التصدير التلقائي إرسال Kaspersky Security Center الأحداث العامة إلى نظام SIEM.‏ يبدأ التصدير التلقائي للأحداث بعد تمكينك له على الفور. يشرح هذا القسم بالتفصيل كيفية تمكين التصدير التلقائي للحدث.

انظر أيضًا: السيناريو: تكوين تصدير الحدث إلى نظام SIEM

أعلى الصفحة