關於事件匯出
您可以將事件匯出用在處理組織和技術級別的安全問題的中心系統中,提供安全監控服務,以及從不同解決方案合併資訊。即是提供對網路硬體和應用程式生成的安全警告的即時分析的 SIEM 系統,或者安全操作中心 (SOCs)。
這些系統可以從許多來源接收資料,包括網路、安全、伺服器、資料庫和應用程式。SIEM 系統也提供功能以集成監控的資料,以便說明您避免遺失關鍵事件。而且,系統執行相關事件和警告的自動分析以通知管理員安全問題。警告可以透過儀表板實現,或可以透過協力廠商管道傳送,例如郵件。
從卡巴斯基安全管理中心匯出事件到外部 SIEM 系統的處理程序設計兩部分:事件傳送者 — 卡巴斯基安全管理中心和事件接收者 — SIEM 系統。要成功匯出事件,您必須在您的 SIEM 系統和卡巴斯基安全管理中心管理主控台進行配置。您可以先設定任意一端。您可以設定在卡巴斯基安全管理中心中的事件傳輸,然後設定 SIEM 系統對事件的接收,或者相反。
從卡巴斯基安全管理中心傳送事件的方法
有三種方法從卡巴斯基安全管理中心傳送事件到外部系統:
- 透過 Syslog 協定傳送事件到任意 SIEM 系統
使用 Syslog 協定,您可以轉發發生在卡巴斯基安全管理中心管理伺服器上和受管理裝置上安裝的 Kaspersky 應用程式中的任意事件。Syslog 協定是標準訊息記錄協定。您可以用它匯出事件到任何 SIEM 系統。
為此,您需要標記要轉送到 SIEM 系統的事件。您可在管理主控台或卡巴斯基安全管理中心 網頁主控台中標記事件。只有標記的事件才會被轉送到 SIEM 系統。如果您沒有標記任何內容,則不會轉送任何事件。
- 透過 CEF 和 LEEF 通訊協定傳送事件到 QRadar、Splunk 和 ArcSight 系統
您可使用 CEF 和 LEEF 協定匯出一般事件。當透過 CEF 和 LEEF 協定匯出事件時,您不必能夠選取指定事件以匯出。相反,所有一般事件都被匯出。不同於 Syslog 協定,CEF 和 LEEF 協定不通用。CEF 和 LEEF 為 SIEM 系統所設計(QRadar、Splunk 和 ArcSight)。因此,當您選取透過這些協定匯出事件時,您使用 SIEM 系統所需解析器。
要透過 CEF 和 LEEF 協定匯出報告,“與 SIEM 系統整合”功能必須使用啟動授權金鑰或有效啟動碼在管理伺服器上被啟動。
- 直接從卡巴斯基安全管理中心資料庫到 SIEM 系統
以該方法匯出事件可以用於透過使用 SQL 查詢直接從資料庫公共視圖接收事件。查詢結果被儲存到 XML 檔案,可以用於外部系統的輸入資料。僅僅公共視圖中的事件可以被直接從資料庫中匯出。
透過 SIEM 系統接收事件
SIEM 系統必須接收和正確解析來自卡巴斯基安全管理中心的事件。因為這些目的,您必須正確設定 SIEM 系統。設定取決於特定的 SIEM 系統。然而,有一些設定所有 SIEM 系統的通用步驟,例如設定接收器和解析器。