Экспорт событий в SIEM-системы
03 июля 2024
ID 255365
Kaspersky Security для контейнеров позволяет отправлять сообщения о событиях в SIEM-системы для их сбора, анализа и последующего реагирования на потенциальные угрозы. В сообщениях передаются данные по тем же типам и категориям событий, которые регистрируются в журнале событий безопасности.
Передача данных о событиях в системе осуществляется посредством интеграции с SIEM-системой при установке решения. Сообщения о событиях направляются на сервер регистрации SIEM-системы в формате CEF по протоколу TCP или UDP с использованием предоставленного порта (обычно применяется порт 514). При развертывании решения эти параметры указываются в конфигурационном файле values.yaml:
CEF_PROTOCOL=tcp
CEF_HOST=<ip address>
CEF_PORT=<port>
Передаваемое сообщение состоит из следующих компонентов:
- Заголовок Syslog, в котором указывается дата, время и имя хост-узла.
- Префикс и номер версии CEF.
- Поставщик устройства.
- Название решения.
- Версия решения.
- Генерируемый решением уникальный код типа события.
- Описание события.
- Оценка критичности события.
- Дополнительная информация, которая может включать в себя IP-адрес устройства, причину возникновения события, а также результат или статус события.