Экспорт событий в SIEM-системы

Kaspersky Security для контейнеров позволяет отправлять сообщения о событиях в

для их сбора, анализа и последующего реагирования на потенциальные угрозы. В сообщениях передаются данные по тем же типам и категориям событий, которые регистрируются в журнале событий безопасности.

Передача данных о событиях в системе осуществляется посредством интеграции с SIEM-системой при установке решения. Сообщения о событиях направляются на сервер регистрации SIEM-системы в формате CEF по протоколу TCP или UDP с использованием предоставленного порта (обычно применяется порт 514). При развертывании решения эти параметры указываются в конфигурационном файле values.yaml:

CEF_PROTOCOL=tcp

CEF_HOST=<ip address>

CEF_PORT=<port>

Передаваемое сообщение состоит из следующих компонентов:

Заголовок
Syslog
Стандарт отправки и записи сообщений о происходящих в системе событиях, используемый на платформах UNIX и GNU/Linux.

, в котором указывается дата, время и имя хост-узла.
Префикс и номер версии CEF.
Поставщик устройства.
Название решения.
Версия решения.
Генерируемый решением уникальный код типа события.
Описание события.
Оценка критичности события.
Дополнительная информация, которая может включать в себя IP-адрес устройства, причину возникновения события, а также результат или статус события.

Пример сообщения, передаваемого в SIEM-систему

Идентификатор статьи: 255365, Последнее изменение: 4 дек. 2024 г.

В начало