SIEM 시스템에서 이벤트 내보내기 구성 정보

모두 펼치기 | 모두 접기

Kaspersky Security Center에서 외부 SIEM 시스템으로 이벤트를 내보내는 프로세스의 당사자는 이벤트 발신자(Kaspersky Security Center)와 이벤트 수신자(SIEM 시스템)입니다. SIEM 시스템 및 Kaspersky Security Center 관리 콘솔에서 이벤트 내보내기를 구성해야 합니다.

SIEM 시스템에서 지정하는 설정은 사용하는 개별 시스템에 따라 달라집니다. 일반적으로는 모든 SIEM 시스템에서 수신자를 설정해야 하며 필요에 따라 수신된 이벤트를 구문 분석할 메시지 파서를 설정해야 합니다.

수신자 설정

Kaspersky Security Center에서 보낸 이벤트를 받으려면 SIEM 시스템에서 수신자를 설정해야 합니다. 일반적으로는 SIEM 시스템에서 다음 설정을 지정해야 합니다:

• 내보내기 프로토콜 또는 입력 유형

  메시지 전송 프로토콜(TCP/IP 또는 UDP)입니다. 이 프로토콜은 Kaspersky Security Center에서 지정한 프로토콜과 같아야 합니다.

• 포트

  Kaspersky Security Center 연결을 위한 포트 번호입니다. 이 포트는 Kaspersky Security Center에서 지정한 포트와 같아야 합니다.

• 메시지 프로토콜 또는 경로 유형

  SIEM 시스템으로 이벤트를 내보내는 데 사용되는 프로토콜입니다. 다음의 표준 프로토콜 중 하나일 수 있습니다: Syslog, CEF 또는 LEEF. SIEM 시스템은 지정한 프로토콜에 따라 메시지 파서를 선택합니다.

사용하는 SIEM 시스템에 따라 몇 가지 추가 수신자 설정을 지정해야 할 수 있습니다.

아래 그림에는 ArcSight의 수신자 설정 화면이 나와 있습니다.

ArcSight의 수신자 설정

메시지 파서

내보낸 이벤트는 SIEM 시스템에 메시지로 전달됩니다. 이러한 메시지를 적절하게 구문 분석해야 SIEM 시스템에서 이벤트에 대한 정보를 사용할 수 있습니다. SIEM 시스템의 일부분인 메시지 파서는 메시지 컨텐츠를 이벤트 ID 심각도, 설명, 파라미터 등의 관련 필드로 분할하는 데 사용됩니다. 그러면 SIEM 시스템은 Kaspersky Security Center에서 받은 이벤트를 처리하여 SIEM 시스템 데이터베이스에 저장할 수 있습니다.

참고 항목: 시나리오: SIEM 시스템으로 이벤트 내보내기 구성

맨 위로