Esportazione di eventi nei sistemi SIEM

Questa sezione descrive come configurare l'esportazione degli eventi nei sistemi SIEM.

Configurazione dell'esportazione di eventi nei sistemi SIEM

Kaspersky Security Center Linux consente di configurare l'esportazione degli eventi nei sistemi SIEM con uno dei seguenti metodi: esportazione in qualsiasi sistema SIEM che utilizza il formato Syslog o esportazione degli eventi nei sistemi SIEM direttamente dal database di Kaspersky Security Center. Al termine di questo scenario, Administration Server invia automaticamente gli eventi a un sistema SIEM.

Prerequisiti

Prima di avviare la configurazione dell’esportazione degli eventi in Kaspersky Security Center Linux:

• Ulteriori informazioni sui metodi di esportazione degli eventi.
• Assicurarsi di disporre dei valori delle impostazioni di sistema.

È possibile eseguire i passaggi di questo scenario in qualsiasi ordine.

Il processo di esportazione degli eventi in un sistema SIEM prevede i seguenti passaggi:

• Configurazione del sistema SIEM per la ricezione di eventi da Kaspersky Security Center Linux

  Istruzioni dettagliate: Configurazione dell'esportazione di eventi in un sistema SIEM

• Selezione degli eventi che si desidera esportare nel sistema SIEM

  Contrassegnare gli eventi da esportare nel sistema SIEM. Innanzitutto, contrassegnare gli eventi generici che si verificano in tutte le applicazioni Kaspersky gestite. Successivamente, è possibile contrassegnare gli eventi per applicazioni Kaspersky gestite specifiche.

• Configurazione dell'esportazione di eventi nel sistema SIEM

  Per esportare gli eventi, è possibile utilizzare uno dei seguenti metodi:

  • Utilizzo dei protocolli TCP/IP, UDP o TLS su TCP.
  • Utilizzo dell'esportazione di eventi direttamente dal database di Kaspersky Security Center. È disponibile un set di visualizzazioni pubbliche nel database di Kaspersky Security Center. È possibile trovare la descrizione di queste visualizzazioni pubbliche nel documento klakdb.chm.

Risultati

Dopo aver configurato l'esportazione degli eventi in un sistema SIEM, è possibile visualizzare i risultati dell'esportazione se sono stati selezionati gli eventi da esportare.

Prima di iniziare

Espandi tutto | Comprimi tutto

Durante la configurazione dell’esportazione automatica degli eventi in Kaspersky Security Center Linux, è necessario specificare alcune impostazioni del sistema SIEM. È consigliabile verificare preventivamente queste impostazioni per la preparazione della configurazione di Kaspersky Security Center Linux.

Per configurare l'invio automatico degli eventi in un sistema SIEM, è necessario conoscere le seguenti impostazioni:

• Indirizzo server del sistema SIEM

  L'indirizzo IP del server in cui è installato il sistema SIEM utilizzato attualmente. Verificare questo valore nelle impostazioni del sistema SIEM.

• Porta server del sistema SIEM

  Numero della porta utilizzato per stabilire la connessione tra Kaspersky Security Center Linux e il server del sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center Linux e nelle impostazioni del destinatario del sistema SIEM.

• Protocollo

  Protocollo utilizzato per il trasferimento dei messaggi da Kaspersky Security Center Linux al sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center Linux e nelle impostazioni del destinatario del sistema SIEM.

Informazioni sull'esportazione degli eventi

Kaspersky Security Center Linux consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Le informazioni sugli eventi vengono salvate nel database di Administration Server.

È possibile utilizzare l'esportazione degli eventi in sistemi centralizzati che gestiscono i problemi di protezione a livello tecnico e organizzativo, garantiscono servizi di monitoraggio della sicurezza e consolidano informazioni da diverse soluzioni. Si tratta di sistemi SIEM, che offrono analisi in tempo reale degli avvisi e degli eventi di protezione generati da applicazioni e hardware di rete o SOC (Security Operation Center).

Questi sistemi ricevono i dati da numerose origini, tra cui reti, sicurezza, server, database e applicazioni. I sistemi SIEM forniscono anche funzionalità per consolidare i dati monitorati ed evitare la perdita di eventi critici. Inoltre, questi sistemi eseguono analisi automatizzate di avvisi ed eventi correlati per inviare immediatamente agli amministratori una notifica dei problemi di protezione. Gli avvisi possono essere implementati tramite un dashboard o inviati tramite canali di terzi, ad esempio via e-mail.

Il processo di esportazione degli eventi da Kaspersky Security Center Linux ai sistemi SIEM esterni coinvolge due parti: un mittente degli eventi, Kaspersky Security Center Linux, e il destinatario di un evento, un sistema SIEM. Per eseguire l'esportazione degli eventi, è necessario configurare questa funzionalità nel sistema SIEM e in Kaspersky Security Center Linux. Non è importante quale lato viene configurato per primo. È possibile configurare la trasmissione degli eventi in Kaspersky Security Center Linux, quindi configurare la ricezione degli eventi dal sistema SIEM o viceversa.

Formato Syslog di esportazione degli eventi

È possibile inviare eventi nel formato Syslog a qualsiasi sistema SIEM. Utilizzando il formato Syslog è possibile inviare gli eventi che si verificano in Administration Server e nelle applicazioni Kaspersky installate nei dispositivi gestiti. Durante l'esportazione degli eventi nel formato Syslog, è possibile selezionare con precisione i tipi di eventi da inviare al sistema SIEM.

Ricezione degli eventi da parte del sistema SIEM

Il sistema SIEM deve ricevere e analizzare correttamente gli eventi ricevuti da Kaspersky Security Center Linux. A tale scopo, è necessario configurare correttamente il sistema SIEM. La configurazione dipende dallo specifico sistema SIEM in uso. Sono comunque previsti diversi passaggi generali per la configurazione di tutti i sistemi SIEM, ad esempio la configurazione del ricevitore e del parser.

Informazioni sulla configurazione dell'esportazione di eventi in un sistema SIEM

Il processo di esportazione degli eventi da Kaspersky Security Center Linux ai sistemi SIEM esterni coinvolge due parti: un mittente degli eventi (Kaspersky Security Center Linux) e il destinatario di un evento (il sistema SIEM). È necessario configurare l’esportazione degli eventi nel sistema SIEM e in Kaspersky Security Center Linux.

Le impostazioni specificate nel sistema SIEM dipendono dal particolare sistema in uso. In genere, per tutti i sistemi SIEM è necessario impostare un ricevitore ed eventualmente un parser dei messaggi per l'analisi degli eventi ricevuti.

Configurazione del ricevitore

Per la ricezione degli eventi inviati da Kaspersky Security Center Linux, è necessario impostare il ricevitore nel sistema SIEM. In generale, le seguenti impostazioni devono essere specificate nel sistema SIEM:

• Protocollo di esportazione

  Un protocollo di trasferimento dei messaggi (UDP, TCP o TLS) su TCP. Questo protocollo deve corrispondere al protocollo specificato in Kaspersky Security Center Linux.

• Porta

  Specificare il numero di porta per la connessione a Kaspersky Security Center Linux. Deve trattarsi della stessa porta specificata in Kaspersky Security Center Linux durante la configurazione con un sistema SIEM.

• Formato dei dati

  Specificare il formato Syslog.

A seconda del sistema SIEM in uso, potrebbe essere necessario specificare alcune impostazioni aggiuntive del ricevitore.

La figura seguente mostra la schermata di configurazione del ricevitore in ArcSight.

Configurazione del ricevitore in ArcSight

Parser dei messaggi

Gli eventi esportati vengono inviati ai sistemi SIEM come messaggi. Questi messaggi devono essere analizzati correttamente per consentire l'utilizzo delle informazioni sugli eventi nel sistema SIEM. I parser dei messaggi fanno parte del sistema SIEM: vengono utilizzati per suddividere il contenuto del messaggio nei campi appropriati, ad esempio l'ID degli eventi, il livello di criticità, la descrizione, i parametri. Questo consente al sistema SIEM di elaborare gli eventi ricevuti da Kaspersky Security Center Linux in modo che possano essere memorizzati nel database del sistema SIEM.

Contrassegno degli eventi per l'esportazione nei sistemi SIEM in formato Syslog

Dopo aver abilitato l'esportazione automatica degli eventi, è necessario selezionare gli eventi da esportare nel sistema SIEM esterno.

È possibile configurare l'esportazione degli eventi in formato Syslog in un sistema esterno in base alle seguenti condizioni:

• Contrassegno di eventi generali. Se si contrassegnano gli eventi da esportare in un criterio, nelle impostazioni di un evento o nelle impostazioni di Administration Server, il sistema SIEM riceverà gli eventi contrassegnati che si sono verificati in tutte le applicazioni gestite dal criterio specifico. Se sono stati selezionati eventi esportati nel criterio, non sarà possibile ridefinirli per una singola applicazione gestita da questo criterio.
• Contrassegno degli eventi per un'applicazione gestita. Se si contrassegnano gli eventi da esportare per un'applicazione gestita installata in un dispositivo gestito, il sistema SIEM riceverà solo gli eventi che si sono verificati nell'applicazione.

Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog

Se si desidera esportare gli eventi che si sono verificati in un'applicazione gestita specifica installata nei dispositivi gestiti, contrassegnare gli eventi per l'esportazione nel criterio dell'applicazione. In questo caso, gli eventi contrassegnati vengono esportati da tutti i dispositivi inclusi nell'ambito del criterio.

Per contrassegnare gli eventi per l'esportazione per una singola applicazione gestita:

1. Nel menu principale accedere a Risorse (dispositivi) → Criteri e profili.
2. Fare clic sul criterio dell'applicazione per cui si desidera contrassegnare gli eventi.

   Verrà visualizzata la finestra delle impostazioni del criterio.

3. Accedere alla sezione Configurazione eventi.
4. Selezionare le caselle di controllo accanto agli eventi che si desidera esportare in un sistema SIEM.
5. Fare clic sul pulsante Contrassegna per l’esportazione nel sistema SIEM utilizzando Syslog.

   È inoltre possibile contrassegnare un evento per l'esportazione nel sistema SIEM nella sezione Registrazione eventi visualizzata facendo clic sul collegamento dell'evento.

6. Un segno di spunta () viene visualizzato nella colonna Syslog dell'evento o degli eventi contrassegnati per l'esportazione nel sistema SIEM.
7. Fare clic sul pulsante Salva.

Gli eventi contrassegnati dell'applicazione gestita sono pronti per l'esportazione in un sistema SIEM.

È possibile contrassegnare quali eventi esportare in un sistema SIEM per un dispositivo gestito specifico. Se sono stati contrassegnati eventi esportati in precedenza in un criterio dell'applicazione, non sarà possibile ridefinire gli eventi contrassegnati per un singolo dispositivo gestito.

Per contrassegnare gli eventi per l'esportazione per un dispositivo gestito:

1. Nel menu principale accedere a Risorse (dispositivi) → Dispositivi gestiti.

   Verrà visualizzato l'elenco dei dispositivi gestiti.

2. Fare clic sul collegamento con il nome del dispositivo desiderato nell'elenco dei dispositivi gestiti.

   Verrà visualizzata la finestra delle proprietà del dispositivo selezionato.

3. Accedere alla sezione Applicazioni.
4. Fare clic sul collegamento con il nome dell'applicazione desiderata nell'elenco delle applicazioni.
5. Accedere alla sezione Configurazione eventi.
6. Selezionare le caselle di controllo accanto agli eventi che si desidera esportare in SIEM.
7. Fare clic sul pulsante Contrassegna per l’esportazione nel sistema SIEM utilizzando Syslog.

   È inoltre possibile contrassegnare un evento per l'esportazione nel sistema SIEM nella sezione Registrazione eventi visualizzata facendo clic sul collegamento dell'evento.

8. Un segno di spunta () viene visualizzato nella colonna Syslog dell'evento o degli eventi contrassegnati per l'esportazione nel sistema SIEM.

D'ora in poi, Administration Server invia gli eventi contrassegnati al sistema SIEM se è configurata l'esportazione nel sistema SIEM.

Contrassegno di eventi generici per l'esportazione nel formato Syslog

È possibile contrassegnare gli eventi generici che Administration Server esporterà nei sistemi SIEM utilizzando il formato Syslog.

Per contrassegnare eventi generici per l'esportazione in un sistema SIEM:

1. Eseguire una delle seguenti operazioni:
   • Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.
   • Nel menu principale, passare a Risorse (dispositivi) → Criteri e profili, quindi fare clic sul collegamento di un criterio.
2. Nella finestra visualizzata accedere alla scheda Configurazione eventi.
3. Fare clic su Contrassegna per l’esportazione nel sistema SIEM utilizzando Syslog.

   È inoltre possibile contrassegnare un evento per l'esportazione nel sistema SIEM nella sezione Registrazione eventi visualizzata facendo clic sul collegamento dell'evento.

4. Un segno di spunta () viene visualizzato nella colonna Syslog dell'evento o degli eventi contrassegnati per l'esportazione nel sistema SIEM.

D'ora in poi, Administration Server invia gli eventi contrassegnati al sistema SIEM se è configurata l'esportazione nel sistema SIEM.

Informazioni sull'esportazione degli eventi utilizzando il formato Syslog

È possibile utilizzare il formato Syslog per esportare nei sistemi SIEM gli eventi che si verificano in Administration Server e in altre applicazioni Kaspersky installate nei dispositivi gestiti.

Syslog è un protocollo standard per la registrazione dei messaggi. Consente una separazione tra il software che genera i messaggi, il sistema che li archivia e il software che li segnala e li analizza. Ogni messaggio dispone di un codice che indica il tipo di software che ha generato il messaggio e di un livello di criticità.

Il formato Syslog è definito dai documenti RFC (Request for Comments) pubblicati da Internet Engineering Task Force (standard Internet). Per l'esportazione degli eventi da Kaspersky Security Center Linux nei sistemi esterni viene utilizzato lo standard RFC 5424.

In Kaspersky Security Center Linux, è possibile configurare l'esportazione degli eventi per i sistemi esterni tramite il formato Syslog.

Il processo di esportazione comprende due passaggi:

1. Abilitazione dell'esportazione automatica degli eventi. In questo passaggio, Kaspersky Security Center Linux viene configurato in modo da inviare gli eventi al sistema SIEM. Kaspersky Security Center Linux inizia a inviare gli eventi subito dopo l'abilitazione dell'esportazione automatica.
2. Selezione degli eventi da esportare nel sistema esterno. In questo passaggio è possibile selezionare gli eventi da esportare nel sistema SIEM.

Configurazione di Kaspersky Security Center Linux per l'esportazione degli eventi nel sistema SIEM

Espandi tutto | Comprimi tutto

Per esportare gli eventi nel sistema SIEM, è necessario configurare il processo di esportazione in Kaspersky Security Center Linux.

Per configurare l'esportazione nei sistemi SIEM in Kaspersky Security Center Web Console:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale, selezionare la sezione SIEM.
3. Fare clic sul collegamento Impostazioni.

   Si aprirà la sezione Esporta impostazioni.

4. Specificare le impostazioni nella sezione Esporta impostazioni:
   • Indirizzo server del sistema SIEM

     L'indirizzo IP del server in cui è installato il sistema SIEM utilizzato attualmente. Verificare questo valore nelle impostazioni del sistema SIEM.

   • Porta del sistema SIEM

     Numero della porta utilizzato per stabilire la connessione tra Kaspersky Security Center Linux e il server del sistema SIEM. Questo valore viene specificato nelle impostazioni di Kaspersky Security Center Linux e nelle impostazioni del destinatario del sistema SIEM.

   • Protocollo

     Selezionare il protocollo da utilizzare per il trasferimento dei messaggi al sistema SIEM. È possibile selezionare il protocollo TCP, UDP o TLS su TCP.

     Specificare le seguenti impostazioni TLS se si seleziona il protocollo TLS su TCP:

     • Autenticazione server

       Nel campo Autenticazione server, è possibile selezionare i valori Certificati affidabili o Impronte digitali SHA:

       • Certificati affidabili. È possibile ricevere una catena di certificati completa (incluso il certificato root) da un'autorità di certificazione (CA) attendibile e caricare il file in Kaspersky Security Center Linux. Kaspersky Security Center Linux verifica se anche la catena di certificati del server di sistema SIEM è firmata da un'autorità di certificazione attendibile o meno.

         Per aggiungere un certificato attendibile, fare clic sul pulsante Cerca il file dei certificati CA, quindi caricare il certificato.

       • Impronte digitali SHA. È possibile specificare le identificazioni personali SHA1 dell'intera catena di certificati del sistema SIEM (incluso il certificato root) in Kaspersky Security Center Linux. Per aggiungere un'identificazione personale SHA1, immetterla nel campo Identificazioni personali, quindi fare clic sul pulsante Aggiungi.

       Utilizzando l'impostazione Aggiungi autenticazione client, è possibile generare un certificato per autenticare Kaspersky Security Center Linux. Pertanto, verrà utilizzato un certificato autofirmato emesso da Kaspersky Security Center Linux. In questo caso, è possibile utilizzare sia un certificato attendibile che un'impronta digitale SHA per autenticare il server di sistema SIEM.

     • Aggiungi nome soggetto/nome alternativo soggetto

       Il nome del soggetto è un nome di dominio per il quale viene ricevuto il certificato. Kaspersky Security Center Linux non può connettersi al server di sistema SIEM se il nome di dominio del server di sistema SIEM non corrisponde al nome del soggetto del certificato del server di sistema SIEM. Tuttavia, il server di sistema SIEM può modificare il proprio nome di dominio se il nome è stato modificato nel certificato. In questo caso, è possibile specificare i nomi dei soggetti nel campo Aggiungi nome soggetto/nome alternativo soggetto. Se uno dei nomi dei soggetti specificati corrisponde al nome del soggetto del certificato di sistema SIEM, Kaspersky Security Center Linux convalida il certificato del server di sistema SIEM.

     • Aggiungi autenticazione client

       Per l’autenticazione del client, è possibile inserire il certificato o generarlo in Kaspersky Security Center Linux.

       • Inserire il certificato. È possibile utilizzare un certificato ricevuto da qualsiasi origine, ad esempio da qualsiasi autorità di certificazione attendibile. È necessario specificare il certificato e la relativa chiave privata utilizzando uno dei seguenti tipi di certificato:
         • Certificato X.509 PEM. Caricare un file con un certificato nel campo File con certificato e un file con una chiave privata nel campo File con la chiave. Entrambi i file non dipendono l'uno dall'altro e l'ordine di caricamento dei file non è significativo. Quando entrambi i file sono stati caricati, specificare la password per la decodifica della chiave privata nel campo Verifica password o certificato. La password può avere un valore vuoto se la chiave privata non è codificata.
         • Certificato X.509 PKCS12. Caricare un singolo file che contenga un certificato e la relativa chiave privata nel campo File con certificato. Quando il file viene caricato, specificare la password per la decodifica della chiave privata nel campo Verifica password o certificato. La password può avere un valore vuoto se la chiave privata non è codificata.
       • Genera chiave. È possibile generare un certificato autofirmato in Kaspersky Security Center Linux. Di conseguenza, Kaspersky Security Center Linux archivia il certificato autofirmato generato ed è possibile passare la parte pubblica del certificato o l'impronta digitale SHA1 al sistema SIEM.
5. Facoltativamente è possibile esportare gli eventi archiviati dal database di Administration Server e impostare la data di inizio da cui si desidera avviare l'esportazione degli eventi archiviati:
   1. Fare clic sul collegamento Impostare la data di inizio dell'esportazione.
   2. Nella sezione visualizzata specificare la data di inizio nel campo Data da cui iniziare l'esportazione.
   3. Fare clic sul pulsante OK.
6. Spostare l'opzione sulla posizione Esporta automaticamente gli eventi nel database del sistema SIEM Abilitato.
7. Fare clic sul pulsante Salva.

L'esportazione nel sistema SIEM è configurata. D'ora in poi, se è stata configurata la ricezione degli eventi in un sistema SIEM, Administration Server esporta gli eventi contrassegnati in un sistema SIEM. Se si imposta la data di inizio dell'esportazione, Administration Server esporta anche gli eventi contrassegnati archiviati nel database di Administration Server dalla data specificata.

Esportazione degli eventi direttamente dal database

È possibile recuperare gli eventi direttamente dal database di Kaspersky Security Center Linux senza dover utilizzare l’interfaccia di Kaspersky Security Center Linux. È possibile eseguire direttamente le query sulle visualizzazioni pubbliche e recuperare i dati degli eventi o creare le proprie visualizzazioni sulla base delle visualizzazioni pubbliche esistenti e configurarle in modo che recuperino i dati necessari.

Visualizzazioni pubbliche

Per maggiore praticità, è disponibile un set di visualizzazioni pubbliche nel database di Kaspersky Security Center Linux. È possibile trovare la descrizione di queste visualizzazioni pubbliche nel documento klakdb.chm.

La visualizzazione pubblica v_akpub_ev_event contiene un set di campi che rappresentano i parametri degli eventi nel database. Nel documento klakdb.chm è inoltre possibile trovare informazioni sulle visualizzazioni pubbliche che corrispondono ad altre entità di Kaspersky Security Center Linux, ad esempio dispositivi, applicazioni o utenti. È possibile utilizzare queste informazioni nelle query.

Questa sezione contiene le istruzioni per l'esecuzione di una query SQL tramite l'utilità klsql2 e un esempio di query.

Per creare query SQL o visualizzazioni di database, è anche possibile utilizzare qualsiasi altro programma per l'utilizzo dei database. Le informazioni su come visualizzare i parametri per la connessione al database di Kaspersky Security Center Linux, ad esempio il nome istanza e il nome database, sono indicate nella sezione corrispondente.

Esecuzione di una query SQL tramite l'utilità klsql2

Questo articolo descrive come utilizzare l'utilità klsql2 e come eseguire una query SQL utilizzando questa utilità. Utilizzare la versione dell'utilità klsql2 inclusa nella versione di Kaspersky Security Center Linux installata.

Per utilizzare l'utilità klsql2:

1. Accedere alla directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.
2. In questa directory, creare un file vuoto con estensione .sql.
3. Aprire il file .sql creato in qualsiasi editor di testo.
4. Nel file .sql digitare la query SQL desiderata e salvare il file.
5. Nel dispositivo in cui è installato Administration Server digitare nella riga di comando il seguente comando per eseguire la query SQL dal file .sql e salvare i risultati nel file result.xml:

   sudo ./klsql2 -i src.sql -u <nome utente> -p <password> -o result.xml

   dove <nome utente> e <password> sono le credenziali dell'account utente che ha accesso al database.

6. Se richiesto, inserire account utente e password dell'account utente che ha accesso al database.
7. Aprire i file result.xml creati per visualizzare i risultati della query SQL.

È possibile modificare il file .sql e creare qualsiasi query SQL sulle visualizzazioni pubbliche. Eseguire la query dalla riga di comando e salvare i risultati in un file.

Visualizzazione del nome del database di Kaspersky Security Center Linux

Se si desidera accedere al database di Kaspersky Security Center Linux tramite gli strumenti di gestione database MySQL o MariaDB, è necessario conoscere il nome del database per connettersi dall'editor degli script SQL.

Per visualizzare il nome del database di Kaspersky Security Center Linux:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome dell'Administration Server richiesto.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale, selezionare la sezione Dettagli del database corrente.

Il nome del database è specificato nel campo Nome database. Utilizzare il nome del database per fare riferimento al database nelle query SQL.

Visualizzazione dei risultati dell'esportazione

È possibile controllare il completamento della procedura di esportazione degli eventi. A tale scopo, controllare se i messaggi con gli eventi esportati vengono ricevuti dal sistema SIEM.

Se gli eventi inviati da Kaspersky Security Center Linux vengono ricevuti e analizzati correttamente dal sistema SIEM, la configurazione su entrambi i lati è stata eseguita correttamente. In caso contrario, controllare le impostazioni specificate in Kaspersky Security Center Linux rispetto alla configurazione del sistema SIEM.

La figura seguente illustra gli eventi esportati in ArcSight. Ad esempio, il primo evento è un evento critico di Administration Server: "Lo stato del dispositivo è Critico".

La rappresentazione degli eventi esportati nel sistema SIEM varia in base al sistema SIEM in uso.

Esempio di eventi