حول تكوين تصدير الحدث في نظام SIEM
تشتمل عملية تصدير الأحداث من Kaspersky Security Center إلى أنظمة SIEM الخارجية على طرفين: Kaspersky Security Center ومستلم الحدث – نظام SIEM. يجب عليك تكوين عملية تصدير الأحداث في نظام SIEM الخاص بك وفي Kaspersky Security Center.
تعتمد الإعدادات التي تحددها في نظام SIEM على النظام المحدد الذي تستخدمه. بوجه عام، بالنسبة إلى جميع الأجهزة يتعين عليك إعداد المستلم، ولك الخيار، في إعداد محلل الرسالة لتحليل الأحداث المستلمة.
إعداد المستلم
لاستلام الأحداث التي يرسلها Kaspersky Security Center، يجب عليك إعداد المستلم في نظام SIEM الخاص بك. بوجه عام، يجب تحديد الإعدادات التالية في نظام SIEM.
بناءً على نظام SIEM الذي تستخدمه، قد يتعين عليك تحديد بعض الإعدادات الإضافية للمستلم.
يوضح الشكل أدناه شاشة إعداد جهاز الاستقبال في ArcSight.
إعداد المستلم في ArcSight
محلل الرسالة
يتم تمرير الأحداث التي تم تصديرها إلى أنظمة SIEM كرسائل. يجب تحليل هذه الرسائل على النحو الصحيح حتى يتسنى استخدام معلومات الأحداث بواسطة نظام SIEM. تمثل محللات الرسالة جزءًا من نظام SIEM، إذ تُستخدم لتجزئة محتويات الرسالة في الحقول ذات الصلة، مثل معرف الحدث والخطورة والوصف والمعلمات وما إلى ذلك. يتيح هذا الإجراء لنظام SIEM معالجة الأحداث المستلمة من Kaspersky Security Center حتى يمكن تخزينها في قاعدة بيانات نظام SIEM.
يحتوي كل نظام من أنظمة SIEM على مجموعة من محللات الرسالة القياسية. يوفر Kaspersky أيضًا محللات الرسالة لبعض أنظمة SIEM، على سبيل المثال، QRadar وArcSight. يمكنك تنزيل هذه الرسائل من مواقع ويب أنظمة SIEM المطابقة. عند تكوين المستلم، يمكنك استخدام أحد محللات الرسالة القياسية أو محلل رسالة من Kaspersky.