卡巴斯基容器安全
1.2
简体中文

目录

将事件导出到 SIEM 系统

卡巴斯基容器安全允许您将事件消息发送到

SIEM 系统
,以进行收集、分析和对潜在威胁做出后续响应。这些消息包含与安全事件日志中记录的相同类型和类别的事件的数据。

在解决方案安装期间配置与 SIEM 系统的集成时,传输有关系统事件的数据。事件消息使用所提供的端口(通常为端口 514)通过 TCP 或 UDP 以 CEF 格式转发到 SIEM 注册服务器。部署解决方案时,在 values.yaml 配置文件中指定以下参数:

CEF_PROTOCOL=tcp

CEF_HOST=<ip 地址>

CEF_PORT=<端口>

传输的消息由以下几部分组成:

  1. Syslog
    标头,指定日期、时间和主机名。
  2. 前缀和 CEF 版本号。
  3. 设备供应商。
  4. 解决方案名称。
  5. 解决方案版本。
  6. 解决方案生成的唯一事件类型代码。
  7. 事件描述。
  8. 事件严重性评估。
  9. 附加信息,例如设备 IP 地址、事件原因、事件结果以及事件状态。

转发到 SIEM 系统的消息示例

以字符串形式发送到 SIEM 系统的消息,其中包含所有指定的消息组成部分:

Oct 12 04:16:11 localhost CEF:0|nxlog.org|nxlog|2.7.1243|Executable Code was Detected|Advanced exploit detected|100|src=192.168.255.110 spt=46117 dst=172.25.212.204 dpt=80

页首
[Topic 255365]