Configuração de integração com sistemas SIEM

O Kaspersky Container Security permite se conectar a sistemas SIEM para o envio de mensagens de eventos para análise e subsequente resposta a possíveis ameaças. A mensagem contém dados dos mesmo tipos e categorias de eventos registrados no log de eventos de segurança. A transmissão de dados sobre eventos de monitoramento de nós de clusters também é realizada integrando sistemas SIEM e vinculando grupos de agentes a eles.

As mensagens são enviadas para um sistema SIEM em formato CEF, por exemplo:

CEF:0|Kaspersky|Kaspersky Container Security|2.1|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success

A mensagem transmitida consiste nos seguintes componentes:

• O cabeçalho Syslog, que especifica a data, a hora e o nome do host.

  Um padrão utilizado em sistemas UNIX™ e GNU/Linux para envio e registro de mensagens de eventos do sistema.

• Prefixo e número da versão do CEF.
• Fornecedor do dispositivo.
• Nome da solução.
• Versão da solução.
• Código exclusivo de tipo de evento gerado pela solução.
• Descrição do evento.
• Avaliação da gravidade do evento.
• Informações adicionais, como endereço IP do dispositivo, bem como motivo, resultado e status do evento.

Para informações detalhadas sobre os componentes, consulte a tabela de correspondência de valores de mensagens CEF.

Nesta seção de Ajuda Correspondência de campos de mensagens CEF Informações adicionais sobre o evento na mensagem CEF Criação de integração com um sistema SIEM Vinculação de grupos de agentes a um sistema SIEM Visualização e edição das configurações de integração com SIEM Exclusão de integração com um sistema SIEM

Topo da página