SIEM 시스템(QRadar, ArcSight 또는 Splunk)으로 이벤트를 보내기 전에, siem_conversion_rules.xml 파일에 지정된 규칙을 사용하여 Kaspersky Security Center 이벤트를 CEF 및 LEEF 형식의 이벤트로 해석해야 합니다. 이 파일은 Kaspersky Security Center 배포 키트에 포함되어 있습니다.
siem_conversion_rules.xml 파일에는 이벤트를 CEF 및 LEEF 형식으로 변환하기 위한 사전 정의된 해석 규칙이 포함되어 있습니다. 추가 이벤트 해석 규칙을 사용하려면 해당 규칙을 파일에 수동으로 추가하면 됩니다.
siem_conversion_rules.xml 파일에는 <product name="SP_QRADAR" vendor="IBM"> 및 <product name="SP_QRADAR" vendor="IBM"> 섹션이 포함됩니다. <product name="SP_QRADAR" vendor="IBM"> 섹션에는 QRadar SIEM 시스템으로 내보낼 수 있는 LEEF 형식의 이벤트를 생성하기 위한 규칙이 포함되어 있습니다. <product name="SP_ARCSIGHT" vendor="HP"> 섹션에는 ArcSight 또는 Splunk SIEM 시스템으로 내보낼 수 있는 CEF 형식의 이벤트를 생성하기 위한 규칙이 포함되어 있습니다.
각 섹션에는 <common> 하위 섹션이 있습니다. 여기에는 Kaspersky Security Center 이벤트 속성 및 LEEF 형식으로 된 이벤트 해당 속성이 있습니다. 이러한 공통 속성은 내보낼 수 있는 모든 유형의 이벤트에 사용됩니다.
또한 각 섹션에는 <event> 하위 섹션이 있습니다. 각 <event> 하위 섹션에는 <common> 섹션에 나열된 속성에 추가되는 추가 속성이 포함되어 있습니다.
siem_conversion_rules.xml 파일에 새로운 이벤트 생성 규칙을 수동으로 추가할 수 있습니다.
새로운 이벤트 생성 규칙을 추가하려면 다음 절차를 따르십시오.
<event> 하위 섹션을 <product name="SP_QRADAR" vendor="IBM"> 또는 <product name="SP_QRADAR" vendor="IBM"> 섹션에 추가한 다음, 필요한 경우 추가 이벤트 속성을 지정합니다.<event> 하위 섹션은 비어 있습니다.siem_conversion_rules.xml
<conversion_rules>
<product name="SP_QRADAR" vendor="IBM">
<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND"> <!-- Generation rule for the GNRL_EV_VIRUS_FOUND event with additional attributes -->
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>
</param>
...
</event>
...
</product>
<product name="SP_ARCSIGHT" vendor="HP">
<common> <!-- Common Kaspersky Security Center event attributes and corresponding LEEF event attributes -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="dhost" type="AT_STRING" limit="1023"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND">
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="cs4" type="AT_STRING" limit="255"/>
<attr name="cs4Label" type="AT_STRING" val="SHA256"/>
</param>
...
</product>
</conversion_rules>
맨 위로