Sobre a configuração de exportação de eventos em um sistema SIEM

O processo de exportar eventos do Kaspersky Security Center para sistemas SIEM externos envolve duas partes: um remetente de evento (Kaspersky Security Center) e um receptor do evento (sistema SIEM). Você deve configurar a exportação de eventos no seu sistema SIEM e no Kaspersky Security Center.

As configurações especificadas no sistema SIEM dependem de qual sistema que você estiver usando. Normalmente, para todos os sistemas SIEM você deve definir um receptor e, opcionalmente, um analisador de mensagem para analisar os eventos recebidos.

Configurar o receptor

Para poder receber eventos enviados pelo Kaspersky Security Center, configure o receptor no seu sistema SIEM. Em geral, as seguintes configurações devem ser especificadas no sistema SIEM:

Protocolo para exportar ou tipo de entrada

É o protocolo de transferência de mensagem, TCP/IP ou UDP. Este protocolo deve ser o mesmo protocolo que você especificou no Kaspersky Security Center.
Porta

Número da porta para conectar-se ao Kaspersky Security Center. Esta porta deve ser a mesma que a porta que você especificou no Kaspersky Security Center.
Protocolo de mensagem ou tipo de origem

O protocolo usado para exportar eventos ao sistema SIEM. Pode ser um dos protocolos padrão: Syslog, CEF ou LEEF. O sistema SIEM seleciona o analisador de mensagem de acordo com o protocolo que você especifica.

Dependendo do sistema SIEM usado, você pode ter que especificar algumas configurações adicionais de receptor.

A figura abaixo mostra tela de configuração de receptor no ArcSight.

No ArcSight, a tela de configuração do receptor está localizada na guia Configuração. As configurações do receptor são especificadas da seguinte forma: o nome do receptor é tcp cef, a propriedade IP/Host é All, a porta é 616, a codificação é UTF-8, o tipo de origem é CEF.

Configuração do receptor no ArcSight

Analisador de mensagem

Os eventos exportados são passados aos sistemas SIEM como mensagens. Estas mensagens devem ser apropriadamente analisadas para que as informações nos eventos possam ser usadas pelo sistema SIEM. Os analisadores de mensagem são uma parte do sistema SIEM; eles são usados para dividir o conteúdo da mensagem em campos relevantes, tal como ID do evento, gravidade, descrição, parâmetros e assim por diante. Isto ativa o sistema SIEM para processar eventos recebidos do Kaspersky Security Center para que eles possam ser armazenados no banco de dados do sistema SIEM.

Consulte também:

Cenário: configurando a exportação de eventos para um sistema SIEM

Topo da página