CEF және LEEF пішіміндегі оқиғаларды экспорттау туралы

CEF және LEEF пішімдерін, SIEM жүйесіне жалпы оқиғаларды, сондай-ақ "Лаборатория Касперского" бағдарламалары Басқару серверіне жіберген оқиғаларды экспорттау үшін пайдалануға болады. Экспортталатын оқиғалар жиынтығы алдын ала анықталған, экспортталатын оқиғаларды таңдау мүмкіндігі жоқ.

Оқиғаларды CEF және LEEF протоколдары бойынша экспорттау үшін, SIEM жүйелерімен біріктіру қолданыстағы белсендіру кодын немесе белсенді лицензиялық кілтті қолдану арқылы Басқару серверінде белсендірілуі тиіс.

Экспорттау пішімін, сіз қолданатын SIEM жүйесіне байланысты таңдауға болады. Келесі кестеде SIEM жүйелері және оларға сәйкес экспорттау пішімдері келтірілген.

Оқиғаларды SIEM жүйесіне экспорттау пішімдері

SIEM жүйесі	Экспорттау пішімі
QRadar	LEEF
ArcSight	CEF
Splunk	CEF

• LEEF (Log Event Extended Format) – бұл IBM Security QRadar SIEM үшін оқиғалардың мамандандырылған пішімі. QRadar жүйесі LEEF протоколы арқылы берілетін оқиғаларды қабылдай алады, анықтай алады және өңдей алады. LEEF протоколы үшін UTF-8 кодтамасы қолданылуы керек. LEEF протоколы туралы толығырақ ақпаратты IBM Knowledge Center веб-бетінен қараңыз.
• CEF – бұл әртүрлі желілік құрылғылар мен қолданбалардың қауіпсіздік жүйесі ақпаратының үйлесімділігін жақсартатын "ашық журнал" типті басқару стандарты. CEF протоколы, кәсіпорынды басқару жүйелері талдауға арналған деректерді оңай алуы және біріктіруі үшін оқиғалар журналының жалпы пішімін пайдалануға мүмкіндік береді.

Автоматты түрде экспорттау кезінде Kaspersky Security Center жалпы оқиғаларды SIEM жүйесіне жібереді. Оқиғаларды автоматты түрде экспорттау қосылғаннан кейін бірден басталады. Бұл бөлімде оқиғаларды автоматты түрде экспорттауды қосу рәсімі сипатталған.

Сондай-ақ, қараңыз: Сценарий: Оқиғаларды SIEM жүйелеріне экспорттауды конфигурациялау

Басына оралу