关于事件导出
您可以在处理组织和技术级别的安全问题的集中式系统内使用事件导出,提供安全监控服务,以及合并来自不同解决方案的信息。即是提供对网络硬件和应用程序生成的安全警告的实时分析的 SIEM 系统,或者安全操作中心(SOC)。
这些系统可以从许多源接收数据,包括网络、安全、服务器、数据库和应用程序。SIEM 系统也提供功能以集成监控的数据,以便帮助您避免丢失关键事件。而且,系统执行相关事件和警告的自动分析以通知管理员安全问题。警告可以通过仪表盘实现,或可以通过第三方渠道发送,例如邮件。
从 Kaspersky Security Center 导出事件到外部 SIEM 系统的进程设计两部分:事件发送者 — Kaspersky Security Center 和事件接收者 — SIEM 系统。要成功导出事件,您必须在您的 SIEM 系统和 Kaspersky Security Center 管理控制台进行配置。您可以先配置任意一端。您可以配置 Kaspersky Security Center 中的事件传输,然后配置 SIEM 系统对事件的接收,或者相反。
从 Kaspersky Security Center 发送事件的方法
有三种方法从 Kaspersky Security Center 发送事件到外部系统:
- 通过 Syslog 协议发送事件到任意 SIEM 系统
使用 Syslog 协议,您可以转发发生在 Kaspersky Security Center 管理服务器上和受管理设备上安装的 Kaspersky 应用程序中的任意事件。Syslog 协议是标准消息记录协议。您可以用它将事件导出到任何 SIEM 系统。
为此,您需要标记希望中继到 SIEM 系统的事件。您可以在管理控制台或 Kaspersky Security Center 13.2 Web 控制台中标记事件。只有标记的事件才会被中继到 SIEM 系统。如果您没有标记任何内容,则不会中继任何事件。
- 通过 CEF 和 LEEF 协议发送事件到 QRadar、Splunk 和 ArcSight 系统
您可以使用 CEF 和 LEEF 协议导出常规事件。当通过 CEF 和 LEEF 协议导出事件时,您不必能够选择指定事件以导出。相反,所有常规事件都被导出。不同于 Syslog 协议,CEF 和 LEEF 协议不通用。CEF 和 LEEF 为 SIEM 系统所设计(QRadar、Splunk 和 ArcSight)。因此,当您选择通过这些协议导出事件时,您使用 SIEM 系统所需解析器。
要通过 CEF 和 LEEF 协议导出报告,必须在管理服务器中使用活动授权许可密钥或有效激活码激活“与 SIEM 系统集成”功能。
- 直接从 Kaspersky Security Center 数据库到 SIEM 系统
以该方法导出事件可以用于通过使用 SQL 查询直接从数据库公共视图接收事件。查询结果被保存到 XML 文件,可以用于外部系统的输入数据。仅仅公共视图中的事件可以被直接从数据库中导出。
通过 SIEM 系统接收事件
SIEM 系统必须接收和正确解析来自 Kaspersky Security Center 的事件。因为这些目的,您必须正确配置 SIEM 系统。配置取决于特定的 SIEM 系统。然而,有一些配置所有 SIEM 系统的通用步骤,例如配置接收器和解析器。