Configurar la integración a sistemas SIEM

Kaspersky Container Security le permite conectarse con sistemas SIEM para enviar mensajes de eventos para analizar y responder ante posibles amenazas. Estos mensajes contienen datos para los mismos tipos y las categorías de eventos que se recogen en el registro de eventos de seguridad. También se transmiten los datos sobre eventos de supervisión de nodos en clústeres mediante la integración a sistemas SIEM y los enlaces de grupos de agentes.

Los mensajes se envían a un sistema SIEM en el formato CEF, por ejemplo:

CEF:0|Kaspersky|Kaspersky Container Security|2.0|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success

El mensaje transmitido está compuesto por los siguientes componentes:

• Encabezado Syslog, que especifica el nombre de host, la fecha y la hora

  Estándar para enviar y registrar eventos del sistema usado en plataformas UNIX™ y GNU/Linux.

• Prefijo y número de la versión de CEF
• Proveedor del dispositivo
• Nombre de la solución
• Versión de la solución
• Código único del tipo de evento generado por la solución
• Descripción del evento
• Evaluación de la gravedad de un evento
• Información adicional, como la dirección IP del dispositivo, el motivo del evento, el resultado del evento y el estado del evento

Para obtener información detallada sobre los componentes, consulte la tabla que contiene el significado de los valores de los mensajes CEF.

Contenido de esta sección: Significado de los campos con mensajes CEF Crear una integración a un sistema SIEM Vincular grupos de agentes con un sistema SIEM Visualizar y editar la configuración de la integración a sistemas SIEM Eliminar la integración a un sistema SIEM

Inicio de página