方案:配置导出事件到 SIEM 系统
方案:配置导出事件到 SIEM 系统
Kaspersky Security Center 允许通过以下方法之一进行配置:导出到任何使用 Syslog 格式的 SIEM 系统、导出到使用 LEEF 和 CEF 格式的 QRadar、Splunk、ArcSight SIEM 系统,或直接从 Kaspersky Security Center 数据库导出事件到 SIEM 系统。完成此方案后,管理服务器会自动将事件发送到 SIEM 系统。
先决条件
在开始配置 Kaspersky Security Center 中的事件导出之前:
- 了解有关事件导出方法的更多信息。
- 确保拥有系统设置的值。
您可以按任意顺序执行此方案的步骤。
将事件导出到 SIEM 系统的过程包括以下步骤:
- 配置 SIEM 系统以接收来自 Kaspersky Security Center 的事件。
- 选择要导出到 SIEM 系统的事件:
说明:
- 管理控制台:标记要以 Syslog 格式导出的 Kaspersky 应用程序事件、标记要以 Syslog 格式导出的常规事件
- Kaspersky Security Center Web Console:标记要以 Syslog 格式导出的 Kaspersky 应用程序事件、标记要以 Syslog 格式导出的常规事件
- 配置使用以下方法之一将事件导出到 SIEM 系统:
- 使用 TCP/IP、UDP 或 TLS over TCP 协议。
说明:
- 管理控制台:配置导出事件到 SIEM 系统
- Kaspersky Security Center Web Console:配置导出事件到 SIEM 系统
- 使用直接从 Kaspersky Security Center 数据库导出事件(Kaspersky Security Center 数据库中提供了一组公共视图;您可以在 klakdb.chm 文档中找到这些公共视图的描述)。
- 使用 TCP/IP、UDP 或 TLS over TCP 协议。
结果
配置导出事件到 SIEM 系统后,如果您选择了要导出的事件,可以查看导出结果。
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.