Conversione degli eventi nel formato CEF o LEEF
Prima di inviare eventi al sistema SIEM (QRadar, ArcSight o Splunk), è necessario interpretare gli eventi Kaspersky Security Center in eventi in formato CEF e LEEF utilizzando le regole specificate nel file siem_conversion_rules.xml. Questo file è incluso nel kit di distribuzione di Kaspersky Security Center.
Il file siem_conversion_rules.xml contiene le regole di interpretazione predefinite per convertire gli eventi nei formati CEF e LEEF. Se si desidera utilizzare ulteriori regole di interpretazione degli eventi, è possibile aggiungerle manualmente al file.
Il file siem_conversion_rules.xml include le sezioni <product name="SP_QRADAR" vendor="IBM"> e <product name="SP_QRADAR" vendor="IBM">. La sezione <product name="SP_QRADAR" vendor="IBM"> contiene regole per la generazione degli eventi nel formato LEEF, che possono essere esportate nel sistema QRadar SIEM. La sezione <product name="SP_ARCSIGHT" vendor="HP"> contiene regole per la generazione degli eventi nel formato CEF, che può essere esportato nel sistema ArcSight o Splunk SIEM.
Ogni sezione dispone della sottosezione <common> in cui si trovano gli attributi degli eventi Kaspersky Security Center e gli attributi corrispondenti degli eventi nel formato LEEF. Questi attributi comuni vengono utilizzati per tutti i tipi di eventi che possono essere esportati.
Inoltre, ogni sezione dispone delle sottosezioni <event>. Ogni sottosezione <event> contiene attributi aggiuntivi aggiunti a questi elenchi nella sezione <common>.
È possibile aggiungere manualmente una nuova regola di generazione eventi al file siem_conversion_rules.xml.
Per aggiungere una nuova regola di generazione degli eventi:
- Aggiungere una nuova sottosezione
<event>alla sezione<product name="SP_QRADAR" vendor="IBM">o<product name="SP_QRADAR" vendor="IBM">, quindi specificare gli attributi degli eventi aggiuntivi, se necessario. - Se un evento è costituito solo da attributi comuni, la sottosezione
<event>sarà vuota.
siem_conversion_rules.xml