Contrassegno degli eventi per l'esportazione nei sistemi SIEM in formato Syslog

Questa sezione descrive come contrassegnare gli eventi per un'ulteriore esportazione nei sistemi SIEM in formato Syslog.

Informazioni sul contrassegno degli eventi per l'esportazione nel sistema SIEM in formato Syslog

Dopo aver abilitato l'esportazione automatica degli eventi, è necessario selezionare gli eventi da esportare nel sistema SIEM esterno.

È possibile configurare l'esportazione degli eventi in formato Syslog in un sistema esterno in base alle seguenti condizioni:

• Contrassegno di eventi generali. Se si contrassegnano gli eventi da esportare in un criterio, nelle impostazioni di un evento o nelle impostazioni di Administration Server, il sistema SIEM riceverà gli eventi contrassegnati che si sono verificati in tutte le applicazioni gestite dal criterio specifico. Se sono stati selezionati eventi esportati nel criterio, non sarà possibile ridefinirli per una singola applicazione gestita da questo criterio.
• Contrassegno degli eventi per un'applicazione gestita. Se si contrassegnano gli eventi da esportare per un'applicazione gestita installata in un dispositivo gestito, il sistema SIEM riceverà solo gli eventi che si sono verificati nell'applicazione.

Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog

Se si desidera esportare gli eventi che si sono verificati in una singola applicazione gestita installata in un dispositivo gestito, contrassegnare gli eventi per l'esportazione per l'applicazione. Se sono stati contrassegnati eventi esportati in precedenza nel criterio, non sarà possibile ridefinire gli eventi contrassegnati per una singola applicazione gestita da questo criterio.

Per contrassegnare gli eventi per l'esportazione per una singola applicazione gestita:

1. Nella struttura della console di Kaspersky Security Center selezionare il nodo Dispositivi gestiti e passare alla scheda Dispositivi.
2. Fare clic con il pulsante destro del mouse per aprire il menu di scelta rapida del dispositivo desiderato, quindi selezionare Proprietà.
3. Nella finestra delle proprietà del dispositivo visualizzata selezionare la sezione Applicazioni.
4. Nell'elenco delle applicazioni visualizzato selezionare l'applicazione di cui si desidera esportare gli eventi e fare clic sul pulsante Proprietà.
5. Nella finestra delle proprietà dell'applicazione selezionare la sezione Configurazione eventi.
6. Nell'elenco degli eventi visualizzato selezionare uno o più eventi che devono essere esportati nel sistema SIEM e fare clic sul pulsante Proprietà.
7. Nella finestra delle proprietà dell'evento visualizzata selezionare la casella di controllo Esporta nel sistema SIEM utilizzando Syslog per contrassegnare gli eventi selezionati per l'esportazione in formato Syslog. Deselezionare la casella di controllo Esporta nel sistema SIEM utilizzando Syslog per rimuovere il contrassegno dagli eventi selezionati per l'esportazione nel formato Syslog.

   Se in un criterio sono definite proprietà degli eventi, i campi di questa finestra non possono essere modificati.

   

   Finestra Proprietà evento

8. Fare clic su OK per salvare le modifiche.
9. Fare clic su OK nella finestra delle proprietà dell'applicazione e nella finestra delle proprietà del dispositivo.

Gli eventi contrassegnati verranno inviati al sistema SIEM nel formato Syslog. Gli eventi per i quali è stata deselezionata la casella di controllo Esporta nel sistema SIEM utilizzando Syslog, non verranno esportati in un sistema SIEM. L'esportazione inizierà non appena si attiva l'esportazione automatica e si selezionano gli eventi da esportare. Configurare il sistema SIEM per fare in modo che riceva gli eventi da Kaspersky Security Center.

Contrassegno di eventi generici per l'esportazione nel formato Syslog

Se si desidera esportare gli eventi che si sono verificati in tutte le applicazioni gestite in base a un criterio specifico, contrassegnare gli eventi da esportare nel criterio. In questo caso, non è possibile contrassegnare gli eventi per una singola applicazione gestita.

Per contrassegnare eventi generici per l'esportazione in un sistema SIEM:

1. Nella struttura della console di Kaspersky Security Center selezionare il nodo Criteri.
2. Fare clic con il pulsante destro del mouse per aprire il menu di scelta rapida del criterio desiderato, quindi selezionare Proprietà.
3. Nella finestra delle proprietà del criterio visualizzata selezionare la sezione Configurazione eventi.
4. Nell'elenco degli eventi visualizzato selezionare uno o più eventi che devono essere esportati nel sistema SIEM e fare clic sul pulsante Proprietà.

   Se è necessario selezionare tutti gli eventi, fare clic sul pulsante Seleziona tutto.

5. Nella finestra delle proprietà dell'evento visualizzata selezionare la casella di controllo Esporta nel sistema SIEM utilizzando Syslog per contrassegnare gli eventi selezionati per l'esportazione in formato Syslog. Deselezionare la casella di controllo Esporta nel sistema SIEM utilizzando Syslog per rimuovere il contrassegno dagli eventi selezionati per l'esportazione in formato Syslog.

   

   Finestra delle proprietà degli eventi di Administration Server

6. Fare clic su OK per salvare le modifiche.
7. Nella finestra delle proprietà del criterio fare clic su OK.

Gli eventi contrassegnati verranno inviati al sistema SIEM nel formato Syslog. Gli eventi per i quali è stata deselezionata la casella di controllo Esporta nel sistema SIEM utilizzando Syslog, non verranno esportati in un sistema SIEM. L'esportazione inizierà non appena si attiva l'esportazione automatica e si selezionano gli eventi da esportare. Configurare il sistema SIEM per fare in modo che riceva gli eventi da Kaspersky Security Center.