Настройка интеграции с SIEM-системами

Kaspersky Security для контейнеров позволяет подключаться к SIEM-системам, чтобы отправлять сообщения о событиях для их анализа и последующего реагирования на потенциальные угрозы. В сообщениях передаются данные по тем же типам и категориям событий, которые регистрируются в журнале событий безопасности. Также передача данных о событиях мониторинга узлов кластера осуществляется путем интеграции с SIEM-системами и связывания с ними групп агентов.

Сообщение в SIEM-систему передается в формате CEF, например:

CEF:0|Kaspersky|Kaspersky Container Security|2.0|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success

Передаваемое сообщение состоит из следующих компонентов:

• Заголовок Syslog, в котором указывается дата, время и имя хост-узла.

  Стандарт отправки и записи сообщений о происходящих в системе событиях, используемый на платформах UNIX™ и GNU/Linux.

• Префикс и номер версии CEF.
• Поставщик устройства.
• Название решения.
• Версия решения.
• Генерируемый решением уникальный код типа события.
• Описание события.
• Оценка критичности события.
• Дополнительная информация, которая может включать в себя IP-адрес устройства, причину возникновения события, а также результат или статус события.

Более подробная информация о компонентах представлена в таблице сопоставления значений CEF-сообщения.

В этом разделе справки Сопоставление полей в CEF-сообщении Создание интеграции с SIEM-системой Связывание групп агентов с SIEM-системой Просмотр и изменение параметров интеграции с SIEM-системой Удаление интеграции с SIEM-системой

В начало