Configurando o Kaspersky Security Center para exportação de eventos para o sistema SIEM

Expandir tudo | Recolher tudo

Você pode ativar a exportação automática de eventos no Kaspersky Security Center.

Somente os eventos gerais podem ser exportados de aplicativos gerenciados através dos formatos CEF e LEEF.  Os eventos específicos para um aplicativo não podem ser exportados de aplicativos gerenciados através dos formatos CEF e LEEF. Se tiver de exportar eventos de aplicativos gerenciados ou de um conjunto personalizado de eventos configurado usando as políticas de aplicativos gerenciados, exporte os eventos através do formato Syslog.

Para ativar a exportação automática de eventos:

1. Na árvore do console do Kaspersky Security Center, selecione o Servidor de Administração cujos eventos você quer exportar.
2. No espaço de trabalho do Servidor de Administração selecionado, clique na guia Eventos.
3. Clique na seta suspensa junto ao link Configurar notificações e exportação de eventos e selecione Configurar a exportação para o sistema SIEM na lista suspensa.

   A janela Propriedades de eventos é aberta, exibindo a seção Exportação de eventos.

4. Na seção Exportação de eventos, especifique as seguintes configurações de exportação:

   

   Seção Exportação de eventos da janela Propriedades do evento

   • Exportar automaticamente eventos para o banco de dados do sistema SIEM

     Selecione esta caixa de seleção para ativar a exportação automática de eventos para sistemas SIEM. A seleção desta caixa de seleção ativa todos os campos na seção Exportando eventos.

   • Sistema SIEM

     Selecione o sistema SIEM para exportar eventos: QRadar (formato LEEF), ArcSight (formato CEF), Splunk (formato CEF) e formato Syslog (RFC 5424).

   • Endereço do servidor do sistema SIEM

     Especifique o endereço do servidor do sistema SIEM. O endereço pode ser especificado como um nome DNS ou NetBIOS ou como um endereço IP.

   • Porta do servidor do sistema SIEM

     Especifique o número da porta usada para conectar-se ao servidor do sistema SIEM. Este número de porta deve ser o mesmo que este, que o seu sistema SIEM usa para receber os eventos (consulte a seção Configuração de um sistema SIEM para obter detalhes).

   • Protocolo

     Selecione o protocolo a ser usado para transferir mensagens para o sistema SIEM. Você pode selecionar o protocolo TCP/IP ou o UDP. TCP/IP é mais seguro porque suporta confirmações na recepção da mensagem. UDP é um protocolo mais simples e é conveniente em situações onde a verificação de erros e a correção são desnecessárias ou são executadas no aplicativo.

   Se selecionar o formato Syslog, você deve especificar:

   • Tamanho máximo da mensagem, em bytes

     Especifique o tamanho máximo (em bytes) de uma mensagem encaminhada ao sistema SIEM. Cada evento é encaminhado em uma mensagem. Se o comprimento real de uma mensagem exceder o valor especificado, a mensagem é truncada e os dados podem ser perdidos. O tamanho padrão é de 2.048 bytes. Este campo somente está disponível se você selecionou o formato Syslog no campo Sistema SIEM.

5. Se você desejar exportar ao banco de dados do sistema SIEM os eventos que ocorreram após uma data especificada no passado, clique no botão Exportar arquivo e especifique a data inicial para a exportação do evento. Por padrão, a exportação do evento inicia imediatamente após você ativá-la.
6. Clique em OK.

A exportação automática dos eventos está ativada.

Após ativar a exportação automática de eventos, você deve selecionar quais eventos serão exportados ao sistema SIEM.

Consulte também: Cenário: configurando a exportação de eventos para um sistema SIEM Marcando eventos para exportação para sistemas SIEM em formato Syslog

Topo da página