Informacje dotyczące eksportowania zdarzeń przy użyciu formatów CEF i LEEF
17 kwietnia 2023
ID 151345
Możesz użyć formatów CEF i LEEF, aby wyeksportować ogólne zdarzenia do systemów SIEM, a także zdarzenia przesyłane przez aplikacje Kaspersky do Serwera administracyjnego. Zestaw eksportowanych zdarzeń jest predefiniowany i nie możesz wybrać zdarzeń do wyeksportowania.
Aby wyeksportować zdarzenia poprzez protokoły CEF i LEEF, funkcja integracji z systemami SIEM musi być aktywowana w Serwerze administracyjnym przy użyciu aktywnego klucza licencyjnego lub ważnego kodu aktywacyjnego.
Wybierz format eksportowania w oparciu o używany system SIEM. Poniższa tabela wyświetla systemy SIEM i odpowiadające im formaty eksportu.
Formaty eksportowania zdarzenia do systemu SIEM
System SIEM | Format eksportu |
---|---|
QRadar | LEEF |
ArcSight | CEF |
Splunk | CEF |
- LEEF (Log Event Extended Format) - dostosowany format zdarzeń dla IBM Security QRadar SIEM. QRadar może integrować, identyfikować i przetwarzać zdarzenia LEEF. Zdarzenia LEEF muszą używać kodowania UTF-8. Szczegółowe informacje na temat protokołu LEEF można znaleźć w Centrum wiedzy IBM.
- CEF (Common Event Format)—standard zarządzania dziennikami, który ulepsza współdziałanie zdarzeń dotyczących bezpieczeństwa między różnymi urządzeniami i aplikacjami sieciowymi i zabezpieczającymi. CEF umożliwia korzystanie z podstawowego formatu dziennika zdarzeń, co ułatwia integrowanie i gromadzenie danych do analizy przez system zarządzania korporacji.
Automatyczne eksportowanie oznacza, że Kaspersky Security Center wysyła ogólne zdarzenia do systemu SIEM. Automatyczne eksportowanie zdarzeń rozpoczyna się od razu po włączeniu tej opcji. Ta sekcja szczegółowo wyjaśnia, jak włączyć automatyczne eksportowanie zdarzeń.