在将事件发送到 SIEM系统(QRadar、ArcSight 或 Splunk)之前,需要使用siem_conversion_rules.xml文件中指定的规则将 Kaspersky Security Center 事件解释为 CEF 和 LEEF 格式的事件。该文件包含在 Kaspersky Security Center 分发包。
siem_conversion_rules.xml 文件包含将事件转换为 CEF 和 LEEF 格式的预定义解释规则。如果想使用额外的事件解释规则,您可以手动将它们添加到文件中。
siem_conversion_rules.xml 文件包括<product name="SP_QRADAR" vendor="IBM"> 和 <product name="SP_QRADAR" vendor="IBM">部分。<product name="SP_QRADAR" vendor="IBM">部分包含用于生成 LEEF 格式事件的规则,可以导出到 QRadar SIEM 系统。<product name="SP_ARCSIGHT" vendor="HP">部分包含用于生成 LEEF 格式事件的规则,可以导出到 ArcSight 或 Splunk SIEM 系统。
每个部分都有<common>子部分,Kaspersky Security Center 事件属性以及 LEEF 格式事件的相应属性位于其中。这些通用属性用于所有可以导出的事件类型。
此外,每个部分都有<event>子部分。每个<event>子部分包含添加到<common>部分中列出的属性中的其他属性。
您可以手动将新的事件生成规则添加到 siem_conversion_rules.xml 文件中。
要添加新的事件生成规则:
<event>子部分添加到<product name="SP_QRADAR" vendor="IBM">或<product name="SP_QRADAR" vendor="IBM">部分,然后指定其他事件属性(如果需要)。<event>子部分将为空。siem_conversion_rules.xml
<conversion_rules>
<product name="SP_QRADAR" vendor="IBM">
<common> <!-- 通用 Kaspersky Security Center 事件属性和相应的 LEEF 事件属性 -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND"> <!-- 具有其他属性的 GNRL_EV_VIRUS_FOUND 事件的生成规则 -->
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>
</param>
...
</event>
...
</product>
<product name="SP_ARCSIGHT" vendor="HP">
<common> <!-- 通用 Kaspersky Security Center 事件属性和相应的 LEEF 事件属性 -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="dhost" type="AT_STRING" limit="1023"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND">
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="cs4" type="AT_STRING" limit="255"/>
<attr name="cs4Label" type="AT_STRING" val="SHA256"/>
</param>
...
</product>
</conversion_rules>
页顶