Оқиғаларды экспорттау туралы

Kaspersky Security Center Linux бағдарламасы, басқарылатын бағдарламаларға орнатылған "Лаборатория Касперского" Басқару сервері мен бағдарламаларының жұмысы барысында орын алған оқиғалар туралы ақпаратты алуға мүмкіндік береді. Оқиғалар туралы ақпарат Басқару серверінің дерекқорында сақталады.

Сіз қауіпсіздік жүйелерінің мониторингін қамтамасыз ететін және әртүрлі шешімдерден деректерді шоғырландыратын ұйымдастырушылық және техникалық деңгейлерде қауіпсіздік мәселелерімен жұмыс істейтін орталықтандырылған жүйелерде оқиғалар экспортын қолдана аласыз. Оларға желілік аппараттық жасақтама мен қолданбалардың оқиғалары мен қауіпсіздік жүйелерінің ескертулерін нақты уақыт режимінде талдауды қамтамасыз ететін SIEM жүйелері, сондай-ақ қауіпсіздікті басқару орталықтары (Security Operation Center, SOC) қатысты болып келеді.

SIEM жүйелері деректерді көптеген көздерден, сонымен қатар желілерден, қауіпсіздік жүйелерінен, серверлерден, дерекқорлардан және қолданбалардан алады. Сондай-ақ, олар өңделген деректерді біріктіру функциясын қамтамасыз ете отырып, сізге критикалық оқиғаларды жіберіп алуға мүмкіндік бермейді. Бұдан бөлек, бұл жүйелер әкімшілерді дереу шешім қабылдауды талап ететін қауіпсіздік жүйесінің мәселелері туралы хабардар ету үшін дабыл сигналдары мен байланысты оқиғаларды автоматты талдауды орындайды. Хабарландырулар индикаторлар тақтасында көрсетілуі немесе бөгде арналар бойынша, мысалы, электрондық пошта арқылы таратылуы мүмкін.

Оқиғаларды Kaspersky Security Center Linux-тен сыртқы SIEM жүйелеріне экспорттау рәсіміне екі тарап қатысады: оқиғаларды жіберуші – Kaspersky Security Center Linux және оқиғаларды алушы – SIEM жүйесі. Оқиғаларды экспорттау сәтті аяқталуы үшін, қолданылатын SIEM жүйесінде де, Kaspersky Security Center Linux Басқару консолінде де конфигурациялауды орындау керек. Конфигурациялаудың бірізділігі маңызды емес: Сіз алдымен оқиғаларды Kaspersky Security Center Linux-ге жіберуді конфигурациялай аласыз, содан соң оқиғаларды SIEM жүйесінде алуды немесе керісінше конфигурациялай аласыз.

Syslog пішіміндегі оқиғаларды экспорттау

Оқиғаларды Syslog пішімінде кез келген SIEM жүйесіне жіберуге болады. Syslog пішімін пайдаланып, Басқару серверде және басқарылатын құрылғыларға орнатылған "Лаборатория Касперского" бағдарламаларында орын алған кез келген оқиғаны жіберуге болады. Оқиғаларды Syslog пішімінде экспорттау кезінде SIEM жүйесіне қандай оқиғалар берілетінін таңдауға болады.

SIEM жүйесінің оқиғаларды алуы

SIEM жүйесі Kaspersky Security Center Linux-ден алынатын оқиғаларды қабылдауы және дұрыс талдауы тиіс. Бұл үшін SIEM жүйесін конфигурациялауды орындау керек. Конфигурация нақты қолданылатын SIEM жүйесіне байланысты болып келеді. Алайда, барлық SIEM жүйелерінің конфигурацияларында қабылдағыш пен талдағышты конфигурациялау сияқты бірқатар жалпы кезеңдер бар.