Prima di inviare eventi al sistema SIEM (QRadar, ArcSight o Splunk), è necessario interpretare gli eventi Kaspersky Security Center in eventi in formato CEF e LEEF utilizzando le regole specificate nel file siem_conversion_rules.xml. Questo file è incluso nel kit di distribuzione di Kaspersky Security Center.
Il file siem_conversion_rules.xml contiene le regole di interpretazione predefinite per convertire gli eventi nei formati CEF e LEEF. Se si desidera utilizzare ulteriori regole di interpretazione degli eventi, è possibile aggiungerle manualmente al file.
Il file siem_conversion_rules.xml include le sezioni <product name="SP_QRADAR" vendor="IBM"> e <product name="SP_QRADAR" vendor="IBM">. La sezione <product name="SP_QRADAR" vendor="IBM"> contiene regole per la generazione degli eventi nel formato LEEF, che possono essere esportate nel sistema QRadar SIEM. La sezione <product name="SP_ARCSIGHT" vendor="HP"> contiene regole per la generazione degli eventi nel formato CEF, che può essere esportato nel sistema ArcSight o Splunk SIEM.
Ogni sezione dispone della sottosezione <common> in cui si trovano gli attributi degli eventi Kaspersky Security Center e gli attributi corrispondenti degli eventi nel formato LEEF. Questi attributi comuni vengono utilizzati per tutti i tipi di eventi che possono essere esportati.
Inoltre, ogni sezione dispone delle sottosezioni <event>. Ogni sottosezione <event> contiene attributi aggiuntivi aggiunti a questi elenchi nella sezione <common>.
È possibile aggiungere manualmente una nuova regola di generazione eventi al file siem_conversion_rules.xml.
Per aggiungere una nuova regola di generazione degli eventi:
<event> alla sezione <product name="SP_QRADAR" vendor="IBM"> o <product name="SP_QRADAR" vendor="IBM">, quindi specificare gli attributi degli eventi aggiuntivi, se necessario.<event> sarà vuota.siem_conversion_rules.xml
<conversion_rules>
<product name="SP_QRADAR" vendor="IBM">
<common> <!-- Attributi degli eventi comuni Kaspersky Security Center e attributi degli eventi LEEF corrispondenti -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="EVC_EV_DISP_HOST_NAME" type="AT_STRING" limit="255"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND"> <!-- Regola di generazione per l'evento GNRL_EV_VIRUS_FOUND con attributi aggiuntivi -->
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="EVC_EV_SHA256" type="AT_STRING" limit="255"/>
</param>
...
</event>
...
</product>
<product name="SP_ARCSIGHT" vendor="HP">
<common> <!-- Attributi degli eventi comuni Kaspersky Security Center e attributi degli eventi LEEF corrispondenti -->
<param name="KLSPLG_HOST_DISP_NAME" type="STRING_T">
<attr name="dhost" type="AT_STRING" limit="1023"/>
</param>
...
</common>
<event id="GNRL_EV_VIRUS_FOUND">
<param name="GNRL_EA_PARAM_1" type="STRING_T">
<attr name="cs4" type="AT_STRING" limit="255"/>
<attr name="cs4Label" type="AT_STRING" val="SHA256"/>
</param>
...
</product>
</conversion_rules>
Inizio pagina