Настройка Kaspersky Security Center для экспорта событий в SIEM-систему

Развернуть все | Свернуть все

Вы можете включить автоматический экспорт событий в Kaspersky Security Center.

Только общие события могут быть экспортированы от управляемых программ в форматах CEF и LEEF.  Специфические события программ не могут быть экспортированы от управляемых программ в форматах CEF и LEEF. Если необходимо экспортировать события управляемых программ или пользовательский набор событий, который настроен с помощью политик управляемых программ, используйте экспорт событий в формате Syslog.

Чтобы включить автоматический экспорт общих событий:

1. В дереве консоли Kaspersky Security Center выберите узел с именем Сервера администрирования, события которого необходимо экспортировать.
2. В рабочей области выбранного Сервера администрирования перейдите на закладку События.
3. Нажмите на стрелку рядом со ссылкой Настроить параметры уведомлений и экспорта событий и в раскрывающемся списке выберите пункт Настроить экспорт в SIEM-систему.

   Откроется окно свойств событий на разделе Экспорт событий.

4. В разделе Экспорт событий укажите следующие параметры экспорта:

   

   Раздел Экспорт событий окна свойств событий

   • Автоматически экспортировать события в базу SIEM-системы

     Установите этот флажок, для того чтобы включить автоматический экспорт событий в SIEM-систему. При установке этого флажка все поля в разделе Экспорт событий становятся доступными для редактирования.

   • SIEM-система

     Выберите, в какую SIEM-систему будет выполняться экспорт событий: QRadar (LEEF-формат), ArcSight (CEF-формат), Splunk (CEF-формат) и формат Syslog (RFC 5424).

   • Адрес сервера SIEM-системы

     Укажите адрес сервера SIEM-системы. Адрес сервера можно указать в формате DNS- или NetBIOS‑имени или IP-адреса.

   • Порт сервера SIEM-системы

     Укажите номер порта для соединения с сервером SIEM-системы. Этот номер порта должен совпадать с номером порта, который вы указываете в настройках приемника SIEM-системы для получения событий (см. раздел Настройка SIEM-системы).

   • Протокол

     Выберите протокол передачи сообщений в SIEM-систему. Можно выбрать протокол TCP/IP или UDP. Протокол TCP/IP является более надежным и поддерживает уведомление о получении сообщений. Протокол UDP является более простым, он применяется в случаях, когда проверка и исправление ошибок передачи сообщений не обязательны или выполняются внутри приложения.

   Если вы выбрали формат Syslog, вы должны указать:

   • Максимальный размер сообщения в байтах

     Укажите максимальный размер в байтах одного сообщения, передаваемого в SIEM-систему. Каждое событие передается одним сообщением. Если реальная длина сообщения превышает указанное значение, сообщение обрезается и данные могут быть утеряны. По умолчанию размер сообщения составляет 2048 байт. Данное поле доступно только в случае, если вы выбрали формат Syslog в поле SIEM-система.

5. Если требуется выполнить экспорт в SIEM-систему событий, произошедших после определенной даты в прошлом, нажмите на кнопку Экспортировать архив и укажите дату, начиная с которой будет выполнен экспорт событий. По умолчанию экспорт событий начинается сразу после включения.
6. Нажмите на кнопку ОК.

Автоматический экспорт событий включен.

После включения автоматического экспорта событий необходимо выбрать, какие события будут экспортироваться в SIEM-систему.