Конвертация событий в формат CEF или LEEF

Перед отправкой событий в SIEM-систему (QRadar, ArcSight или Splunk) необходимо интерпретировать события Kaspersky Security Center в события в формате CEF и LEEF, используя правила, указанные в файле siem_conversion_rules.xml. Этот файл входит в комплект поставки Kaspersky Security Center.

Файл siem_conversion_rules.xml содержит предустановленные правила интерпретации для конвертации событий в формат CEF и LEEF. Если вы хотите использовать дополнительные правила интерпретации событий, вы можете добавить их в файл вручную.

Файл siem_conversion_rules.xml включает в себя разделы <product name="SP_QRADAR" vendor="IBM"> и <product name="SP_QRADAR" vendor="IBM">. Раздел <product name="SP_QRADAR" vendor="IBM"> содержит правила генерации событий в формате LEEF, которые можно экспортировать в SIEM-систему QRadar. Раздел <product name="SP_ARCSIGHT" vendor="HP"> содержит правила генерации событий в формате CEF, которые можно экспортировать в SIEM-систему ArcSight или Splunk.

В каждом разделе есть подраздел <common>, в котором размещены атрибуты событий Kaspersky Security Center и соответствующие им атрибуты событий в формате LEEF. Эти общие атрибуты используются для всех типов событий, которые можно экспортировать.

Каждый раздел также имеет подраздел <event>. Каждый подраздел <event> содержит дополнительные атрибуты, которые добавляются к атрибутам, указанным в разделе <common>.

Вы можете вручную добавить новое правило генерации событий в файл siem_conversion_rules.xml.

Чтобы добавить новое правило генерации событий,

добавьте новый подраздел <event> в раздел <product name="SP_QRADAR" vendor="IBM"> или <product name="SP_QRADAR" vendor="IBM"> , а затем укажите дополнительные атрибуты события, если необходимо.

Если событие состоит только из общих атрибутов, подраздел <event> будет пустым.

siem_conversion_rules.xml