Экспорт событий в SIEM-системы

Kaspersky Security для контейнеров позволяет отправлять сообщения о событиях в SIEM-системы для их сбора, анализа и последующего реагирования на потенциальные угрозы. В сообщениях передаются данные по тем же типам и категориям событий, которые регистрируются в журнале событий безопасности.

Передача данных о событиях в системе осуществляется посредством интеграции с SIEM-системой при установке решения. Сообщения о событиях направляются на сервер регистрации SIEM-системы в формате CEF по протоколу TCP или UDP с использованием предоставленного порта (обычно применяется порт 514). При развертывании решения эти параметры указываются в конфигурационном файле values.yaml:

CEF_PROTOCOL=tcp

CEF_HOST=<ip address>

CEF_PORT=<port>

Передаваемое сообщение состоит из следующих компонентов:

1. Заголовок Syslog, в котором указывается дата, время и имя хост-узла.

   Стандарт отправки и записи сообщений о происходящих в системе событиях, используемый на платформах UNIX™ и GNU/Linux.

2. Префикс и номер версии CEF.
3. Поставщик устройства.
4. Название решения.
5. Версия решения.
6. Генерируемый решением уникальный код типа события.
7. Описание события.
8. Оценка критичности события.
9. Дополнительная информация, которая может включать в себя IP-адрес устройства, причину возникновения события, а также результат или статус события.

Пример сообщения, передаваемого в SIEM-систему