关于使用 CEF 和 LEEF 格式导出事件
关于使用 CEF 和 LEEF 格式导出事件
您可以使用 CEF 和 LEEF 格式将常规事件以及由卡巴斯基应用程序传输到管理服务器的事件导出到 SIEM 系统。导出事件集是预定义的,您无法选择要导出的事件。
要通过 CEF 和 LEEF 协议导出报告,必须在管理服务器中使用活动授权许可密钥或有效激活码激活“与 SIEM 系统集成”功能。
基于使用的 SIEM 系统选择导出格式。下表显示了 SIEM 系统和对应的导出格式。
导出事件到 SIEM 系统的格式
SIEM 系统 | 导出格式 |
---|---|
QRadar | LEEF |
ArcSight | CEF |
Splunk | CEF |
- LEEF (Log Event Extended Format)-用于 IBMSecurity QRadar SIEM 的自定义事件格式。QRadar 可以集成、识别和处理 LEEF 事件。LEEF 事件必须使用 UTF-8 字符编码。您可以在 IBM Knowledge Center 查看 LEEF 协议的详情。
- CEF (通用事件格式)—开放式日志管理标准,涉及来自不同的网络设备和应用程序的安全信息的协同工作。CEF 允许您使用通用日志格式,因此数据可以被简易整合以用企业管理系统分析。CEF 事件必须使用 UTF-8 字符编码。
自动导出意味着 Kaspersky Security Center 发送常规事件到 SIEM 系统。事件自动导出在您启用后立即开始。该部分详细解释了如何启用自动事件导出。
您觉得这篇文章有帮助吗?
我们可以做什么更好?
感谢您的反馈!你正在帮助我们进步。
感谢您的反馈!你正在帮助我们进步。