配置与 SIEM 系统的集成

卡巴斯基容器安全允许连接到SIEM 系统以发送事件消息进行分析并随后对潜在威胁做出响应。这些消息包含与安全事件日志中记录的相同类型和类别的事件的数据。集群节点监控事件数据的传输也是通过与 SIEM 系统集成并将代理组链接到它们来实现的。

消息以 CEF 格式发送到 SIEM 系统，例如：

CEF:0|Kaspersky|Kaspersky Container Security|2.0|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success

传输的消息由以下几部分组成：

• Syslog 标头，指定日期、时间和主机名。

  发送和记录用于 UNIX™ 和 GNU/Linux 平台的系统事件消息的标准。

• 前缀和 CEF 版本号。
• 设备供应商。
• 解决方案名称。
• 解决方案版本。
• 解决方案生成的唯一事件类型代码。
• 事件描述。
• 事件严重性评估。
• 附加信息，例如设备 IP 地址、事件原因、事件结果以及事件状态。

有关组件的更多详细信息，请参阅 CEF 消息值匹配表。

本节帮助内容 匹配 CEF 消息字段 创建与 SIEM 系统的集成 将代理组与 SIEM 系统链接起来 查看和编辑 SIEM 集成设置 删除与 SIEM 系统的集成

页首