تحويل الأحداث إلى تنسيق CEF أو LEEF

وقبل إرسال الأحداث إلى نظام SIEM (QRadar أو ArcSight أو Splunk)، من الضروري تفسير أحداث Kaspersky Security Center إلى أحداث بتنسيقي CEF وLEEF باستخدام القواعد المحددة في ملف siem_conversion_rules.xml. يتم تضمين هذا الملف في مجموعة توزيع Kaspersky Security Center.‏

ويحتوي ملف siem_conversion_rules.xml على قواعد التفسير المحددة مسبقًا لتحويل الأحداث إلى تنسيقي CEF وLEEF.‏ وإذا كنت تريد استخدام قواعد تفسير الأحداث الإضافية، فيمكنك إضافتها إلى الملف يدويًا.

يتضمن ملف siem_conversion_rules.xml file قسمي <product name="SP_QRADAR" vendor="IBM"> و<product name="SP_QRADAR" vendor="IBM">. ويحتوي قسم <product name="SP_QRADAR" vendor="IBM"> على قواعد لإنشاء الأحداث بتنسيق LEEF، والتي يمكن تصديرها إلى نظام QRadar SIEM. ويحتوي القسم <product name="SP_ARCSIGHT" vendor="HP"> على قواعد لإنشاء الأحداث بتنسيق CEF، والتي يمكن تصديرها إلى نظام ArcSight أو Splunk SIEM.‏

يحتوي كل قسم على القسم الفرعي <common>، حيث توجد سمات أحداث Kaspersky Security Center وسمات الأحداث المقابلة لها بتنسيق LEEF.‏ وتُستخدم هذه السمات المشتركة لجميع أنواع الأحداث التي يمكن تصديرها.

لدى كل قسم أيضًا أقسام فرعية باسم <event>.‏ ويحتوي كل قسم فرعي باسم <event> على سمات إضافية تمت إضافتها إلى تلك المدرجة في قسم <common>.

يمكنك إضافة قاعدة جديدة لإنشاء حدث إلى ملف siem_conversion_rules.xml يدويًا.

لإضافة قاعدة جديدة لإنشاء حدث:

  1. أضف قسمًا فرعيًا جديدًا باسم <event> إلى قسم <product name="SP_QRADAR" vendor="IBM"> أو <product name="SP_QRADAR" vendor="IBM">، ثم حدد سمات الحدث الإضافية ، إذا لزم الأمر.
  2. إذا كان الحدث يتكون فقط من السمات المشتركة، فسيكون القسم الفرعي <event> فارغًا.

siem_conversion_rules.xml

<conversion_rules>

<product name="SP_QRADAR" vendor="IBM">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND"> <!-- Generation rule for the GNRL_EV_VIRUS_FOUND event with additional attributes -->

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>

</param>

...

</event>

...

</product>

<product name="SP_ARCSIGHT" vendor="HP">

<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->

<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">

<attr name="dhost" type="AT_STRING" limit="1023"/>

</param>

...

</common>

<event id="GNRL_EV_VIRUS_FOUND">

<param name="GNRL_EA_PARAM_1" type="STRING_T">

<attr name="cs4" type="AT_STRING" limit="255"/>

<attr name="cs4Label" type="AT_STRING" val="SHA256"/>

</param>

...

</product>

</conversion_rules>

أعلى الصفحة