- 卡巴斯基容器安全 2.0 帮助
- 关于卡巴斯基容器安全平台
- 解决方案架构
- 标准部署方案
- 准备安装解决方案
- 解决方案安装
- 删除解决方案
- 更新解决方案
- 解决方案界面
- 授权解决方案
- 数据提供
- 使用集群
- 处理仓库的镜像
- 调查安全事件
- 与第三方资源的集成
- 安全策略配置
- 合规性检查
- 配置和生成报告
- 文件威胁防护
- 用户、角色和范围
- 使用卡巴斯基容器安全 OpenAPI
- 安全事件日志
- 有关解决方案组件状态的信息
- 确保组件的安全性和可靠性
- 管理数据积累动态
- 备份和恢复数据
- 联系技术支持
- 应用程序的信息来源
- 限制和警告
- 第三方服务中的漏洞
- 词汇表
- 第三方代码信息
- 商标声明
- ATT&CK MITRE 使用条款
与第三方资源的集成 > 配置与 SIEM 系统的集成
配置与 SIEM 系统的集成
配置与 SIEM 系统的集成
卡巴斯基容器安全允许连接到
SIEM 系统
以发送事件消息进行分析并随后对潜在威胁做出响应。这些消息包含与安全事件日志中记录的相同类型和类别的事件的数据。集群节点监控事件数据的传输也是通过与 SIEM 系统集成并将代理组链接到它们来实现的。
安全信息和事件管理 (SIEM) 是一类用于获取和分析安全事件相关数据的软件解决方案。
消息以
CEF
格式发送到 SIEM 系统,例如:
普通事件格式 (CEF) 是一种标准化的结构性数据格式,用于在安全事件日志中记录事件。CEF 基于 Syslog 格式,这是一种消息记录标准,受大多数网络设备和操作系统支持。
CEF:0|Kaspersky|Kaspersky Container Security|2.0|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success
传输的消息由以下几部分组成:
- Syslog标头,指定日期、时间和主机名。
发送和记录用于 UNIX 和 GNU/Linux 平台的系统事件消息的标准。
- 前缀和 CEF 版本号。
- 设备供应商。
- 解决方案名称。
- 解决方案版本。
- 解决方案生成的唯一事件类型代码。
- 事件描述。
- 事件严重性评估。
- 附加信息,例如设备 IP 地址、事件原因、事件结果以及事件状态。
有关组件的更多详细信息,请参阅 CEF 消息值匹配表。
|
本节帮助内容 |
文章 ID: 293678, 上次审阅: 2025年5月20日