关于配置 SIEM 系统中的事件导出
关于配置 SIEM 系统中的事件导出
从 Kaspersky Security Center 导出事件到外部 SIEM 系统的进程设计两部分:事件发送者 — Kaspersky Security Center 和事件接收者 — SIEM 系统。必须在 SIEM 系统和 Kaspersky Security Center 中配置事件导出。
您在 SIEM 系统中指定的设置取决于您使用的系统。通常,对于所有 SIEM 系统,您必须设置接收器和消息解析器(可选)以解析接收的事件。
设置接收器
为了接收 Kaspersky Security Center 发送的事件,您必须在您的 SIEM 系统中设置接收器。通常,必须在 SIEM 系统指定以下设置:
根据所使用的 SIEM 系统,您可能需要指定一些附加接收器设置。
下图显示了 ArcSight 的接收器设置截图。
ArcSight 的接收器设置
消息解析器
导出的事件作为消息被传递到 SIEM 系统。这些消息必须正确解析,以便事件信息可以被 SIEM 系统使用。消息解析器是 SIEM 系统的一部分,它们用于拆分消息内容到相关字段,例如事件 ID、严重级别、描述、参数等等。这将启用 SIEM 系统以处理从 Kaspersky Security Center 接收的事件,以便它们可以被存储在 SIEM 系统数据库。
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.