Scenario: configurazione dell'esportazione di eventi nei sistemi SIEM
Kaspersky Security Center consente la configurazione con uno dei seguenti metodi: esportazione in qualsiasi sistema SIEM che utilizza il formato Syslog, esportazione in sistemi QRadar, Splunk, ArcSight SIEM che utilizzano i formati LEEF e CEF o esportazione di eventi in sistemi SIEM direttamente dal database di Kaspersky Security Center. Al termine di questo scenario, Administration Server invia automaticamente gli eventi al sistema SIEM.
Prerequisiti
Prima di avviare la configurazione dell'esportazione degli eventi in Kaspersky Security Center:
- Ulteriori informazioni sui metodi di esportazione degli eventi.
- Assicurarsi di disporre dei valori delle impostazioni di sistema.
È possibile eseguire i passaggi di questo scenario in qualsiasi ordine.
Il processo di esportazione degli eventi nel sistema SIEM prevede i seguenti passaggi:
- Configurazione del sistema SIEM per la ricezione di eventi da Kaspersky Security Center
Istruzioni dettagliate: Configurazione dell'esportazione di eventi in un sistema SIEM
- Selezione degli eventi che si desidera esportare nel sistema SIEM:
Istruzioni dettagliate:
- Administration Console: Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog, Contrassegno di eventi generici per l'esportazione nel formato Syslog
- Kaspersky Security Center Web Console: Contrassegno degli eventi di un'applicazione Kaspersky per l'esportazione nel formato Syslog, Contrassegno di eventi generali per l'esportazione nel formato Syslog
- Configurazione dell'esportazione degli eventi nel sistema SIEM utilizzando uno dei seguenti metodi:
- Utilizzo dei protocolli TCP/IP, UDP o TLS su TCP.
Istruzioni dettagliate:
- Administration Console: Configurazione dell'esportazione di eventi nei sistemi SIEM
- Kaspersky Security Center Web Console: Configurazione dell'esportazione di eventi nei sistemi SIEM
- Utilizzo dell'esportazione di eventi direttamente dal database di Kaspersky Security Center. È disponibile un set di visualizzazioni pubbliche nel database di Kaspersky Security Center. È possibile trovare la descrizione di queste visualizzazioni pubbliche nel documento klakdb.chm.
- Utilizzo dei protocolli TCP/IP, UDP o TLS su TCP.
Risultati
Dopo aver configurato l'esportazione degli eventi nel sistema SIEM, è possibile visualizzare i risultati dell'esportazione se sono stati selezionati gli eventi da esportare.