方案:配置导出事件到 SIEM 系统
方案:配置导出事件到 SIEM 系统
Kaspersky Security Center 允许通过以下方法之一进行配置:导出到任何使用 Syslog 格式的 SIEM 系统、导出到使用 LEEF 和 CEF 格式的 QRadar、Splunk、ArcSight SIEM 系统,或直接从 Kaspersky Security Center 数据库导出事件到 SIEM 系统。完成此方案后,管理服务器会自动将事件发送到 SIEM 系统。
先决条件
在开始配置 Kaspersky Security Center 中的事件导出之前:
- 了解有关事件导出方法的更多信息。
- 确保拥有系统设置的值。
您可以按任意顺序执行此方案的步骤。
将事件导出到 SIEM 系统的过程包括以下步骤:
- 配置 SIEM 系统以接收来自 Kaspersky Security Center 的事件。
- 选择要导出到 SIEM 系统的事件:
说明:
- 管理控制台:标记要以 Syslog 格式导出的 Kaspersky 应用程序事件、标记要以 Syslog 格式导出的常规事件
- Kaspersky Security Center 13.2 Web Console:标记要以 Syslog 格式导出的 Kaspersky 应用程序事件、标记要以 Syslog 格式导出的常规事件
- 配置使用以下方法之一将事件导出到 SIEM 系统:
- 使用 TCP/IP、UDP 或 TLS over TCP 协议。
说明:
- 管理控制台:配置导出事件到 SIEM 系统
- Kaspersky Security Center 13.2 Web Console:配置导出事件到 SIEM 系统
- 使用直接从 Kaspersky Security Center 数据库导出事件(Kaspersky Security Center 数据库中提供了一组公共视图;您可以在 klakdb.chm 文档中找到这些公共视图的描述。)
- 使用 TCP/IP、UDP 或 TLS over TCP 协议。
结果
配置导出事件到 SIEM 系统后,如果您选择了要导出的事件,可以查看导出结果。
您觉得这篇文章有帮助吗?
我们可以做什么更好?
感谢您的反馈!你正在帮助我们进步。
感谢您的反馈!你正在帮助我们进步。