Сіз қауіпсіздік жүйелерінің мониторингін қамтамасыз ететін және әртүрлі шешімдерден деректерді шоғырландыратын ұйымдастырушылық және техникалық деңгейлерде қауіпсіздік мәселелерімен жұмыс істейтін орталықтандырылған жүйелерде оқиғалар экспортын қолдана аласыз. Оларға желілік аппараттық жасақтама мен қолданбалардың оқиғалары мен қауіпсіздік жүйелерінің ескертулерін нақты уақыт режимінде талдауды қамтамасыз ететін SIEM жүйелері, сондай-ақ қауіпсіздікті басқару орталықтары (Security Operation Center, SOC) қатысты болып келеді.
SIEM жүйелері деректерді көптеген көздерден, сонымен қатар желілерден, қауіпсіздік жүйелерінен, серверлерден, дерекқорлардан және қолданбалардан алады. Сондай-ақ, олар өңделген деректерді біріктіру функциясын қамтамасыз ете отырып, сізге критикалық оқиғаларды жіберіп алуға мүмкіндік бермейді. Бұдан бөлек, бұл жүйелер әкімшілерді дереу шешім қабылдауды талап ететін қауіпсіздік жүйесінің мәселелері туралы хабардар ету үшін дабыл сигналдары мен байланысты оқиғаларды автоматты талдауды орындайды. Хабарландырулар индикаторлар тақтасында көрсетілуі немесе бөгде арналар бойынша, мысалы, электрондық пошта арқылы таратылуы мүмкін.
Оқиғаларды Kaspersky Security Center-ден сыртқы SIEM жүйелеріне экспорттау рәсіміне екі тарап қатысады: оқиғаларды жіберуші – Kaspersky Security Center және оқиғаларды алушы – SIEM жүйесі. Оқиғаларды экспорттау сәтті аяқталуы үшін, қолданылатын SIEM жүйесінде де, Kaspersky Security Center Басқару консолінде де конфигурациялауды орындау керек. Конфигурациялаудың бірізділігі маңызды емес: Сіз алдымен оқиғаларды Kaspersky Security Center-ге жіберуді конфигурациялай аласыз, содан соң оқиғаларды SIEM жүйесінде алуды немесе керісінше конфигурациялай аласыз.
Оқиғаларды Kaspersky Security Center-ден жіберу тәсілдерді
Оқиғаларды Kaspersky Security Center-ден сыртқы жүйелерге жіберудің үш тәсілі бар:
Syslog протоколы бойынша Kaspersky Security Center Басқару серверінде және басқарылатын құрылғыларды орнатылған "Лаборатория Касперского" бағдарламаларында орын алған кез келген оқиғаларды жіберуге болады. Syslog протоколы – хабарларды тіркеудің стандартты протоколы. Сіз осы протоколды оқиғаларды кез келген SIEM жүйесіне экспорттау үшін қолдана аласыз.
Бұл үшін SIEM жүйесіне жібергіңіз келетін оқиғаларды белгілеу керек. Сіз оқиғаларды Басқару консолі немесе Kaspersky Security Center Web Console) көмегімен белгілей аласыз. SIEM жүйесіне тек белгіленген оқиғалар ғана жіберелетін болады. Сіз ештеңе белгілемеген болсаңыз, ешқандай оқиғалар жіберілмейді.
CEF және LEEF протоколдарын жалпы оқиғаларды экспорттау үшін қолдануға болады. Оқиғаларды CEF және LEEF протоколдары бойынша экспорттау кезінде, белгіленген экспортталатын оқиғаларды таңдау мүмкіндігіңіз жоқ. Мұның орнына, барлық жалпы оқиғалардың экспорты орындалады. Syslog протоколынан айырмашылығы, CEF және LEEF протоколдары әмбебап болып саналады. CEF және LEEF протоколдары тиісті SIEM жүйелерге (QRadar, Splunk және ArcSight) арналған. Сол себепті, SIEM жүйесінде келесі протоколдардың бірі бойынша оқиғаларды экспорттауды таңдау кезінде қажетті талдағыш қолданылады.
Оқиғаларды CEF және LEEF протоколдары бойынша экспорттау үшін, SIEM жүйелерімен біріктіру қолданыстағы белсендіру кодын немесе белсенді лицензиялық кілтті қолдану арқылы Басқару серверінде белсендірілуі тиіс.
Осы оқиғаларды экспорттау тәсілі, оқиғаларды SQL сұрауларының көмегімен дерекқордың көпшілікке қолжетімді көріністерінен тікелей алу үшін қолдануы мүмкін. Сұрау салу нәтижелері .xml файлына сақталады, оны сыртқы жүйеге арналған кіріс деректері ретінде қолдануға болады. Тікелей дерекқордан тек көпшілікке қолжетімді көріністерде қолжетімді оқиғаларды ғана экспорттауға болады.
SIEM жүйесінің оқиғаларды алуы
SIEM жүйесі Kaspersky Security Center-ден алынатын оқиғаларды қабылдауы және дұрыс талдауы тиіс. Бұл үшін SIEM жүйесін конфигурациялауды орындау керек. Конфигурация нақты қолданылатын SIEM жүйесіне байланысты болып келеді. Алайда, барлық SIEM жүйелерінің конфигурацияларында қабылдағыш пен талдағышты конфигурациялау сияқты бірқатар жалпы кезеңдер бар.