关于配置 SIEM 系统中的事件导出
从 Kaspersky Security Center Linux 导出事件到外部 SIEM 系统的进程设计两部分:事件发送者,Kaspersky Security Center 和事件接收者,SIEM 系统。必须在 SIEM 系统和 Kaspersky Security Center Linux 中配置事件导出。
您在 SIEM 系统中指定的设置取决于您使用的系统。通常,对于所有 SIEM 系统,您必须设置接收器和消息解析器(可选)以解析接收的事件。
设置接收器
为了接收 Kaspersky Security Center Linux 发送的事件,您必须在您的 SIEM 系统中设置接收器。通常,必须在 SIEM 系统指定以下设置:
- 导出协议
消息传输协议,UDP、TCP 或 TLS over TCP。该协议必须与您在 Kaspersky Security Center Linux 中指定的协议相同。
- 端口
指定用于连接到 Kaspersky Security Center Linux 的端口号。该端口必须与您在配置 SIEM 系统期间在 Kaspersky Security Center Linux 中指定的端口相同。
- 数据格式
指定 Syslog 格式。
根据所使用的 SIEM 系统,您可能需要指定一些附加接收器设置。
下图显示了 ArcSight 的接收器设置截图。
ArcSight 的接收器设置
消息解析器
导出的事件作为消息被传递到 SIEM 系统。这些消息必须正确解析,以便事件信息可以被 SIEM 系统使用。消息解析器是 SIEM 系统的一部分,它们用于拆分消息内容到相关字段,例如事件 ID、严重级别、描述、参数等等。这将启用 SIEM 系统以处理从 Kaspersky Security Center Linux 接收的事件,以便它们可以被存储在 SIEM 系统数据库。