イベントのエクスポートについて

Kaspersky Security Center Linux では、管理サーバーと管理対象デバイスにインストールされた他のカスペルスキー製品の動作中に発生したイベントの情報を受信できます。イベントに関する情報は管理サーバーデータベースに保存されます。

イベントのエクスポートは、組織および技術レベルでセキュリティ問題に対処し、セキュリティ監視サービスを提供し、各種ソリューションからの情報を統合できる、一元化されたシステム内で使用できます。これらは SIEM システムで、ネットワークのハードウェアとアプリケーション、またはセキュリティオペレーションセンター（SOC）によって生成されたセキュリティアラートとイベントをリアルタイムで分析します。

これらのシステムは、ネットワーク、セキュリティ、サーバー、データベース、アプリケーションなど多くのソースからのデータを受信します。SIEM システムは、重要なイベントを見逃すことがないように、監視対象データを統合する機能も提供します。さらに、緊急のセキュリティ問題を管理者に通知するために、相互に関連するイベントとアラートの分析を自動的に実行します。アラートはダッシュボードから発することも、メールなどのサードパーティのチャネルから送信することもできます。

Kaspersky Security Center Linux から外部 SIEM システムにイベントをエクスポートするプロセスには、イベントの送信元である Kaspersky Security Center Linux とイベントのレシーバである SIEM システムの 2 つが関係します。イベントを正常にエクスポートするには、SIEM システムと Kaspersky Security Center Linux の両方で設定する必要があります。どちらを先に設定してもかまいません。Kaspersky Security Center Linux からのイベントの送信を設定してから、SIEM システムによるイベントの受信を設定することも、逆の順序で設定することもできます。

イベントのエクスポートの Syslog 形式

Syslog 形式のイベントを任意の SIEM システムに送信できます。Syslog 形式を使用すると、管理サーバーおよび管理対象デバイスにインストールされたカスペルスキー製品で発生したイベントをすべてリレーできます。Syslog 形式でイベントをエクスポートする場合は、SIEM システムにリレーするイベントの種別を正確に選択できます。

SIEM システムによるイベントの受信

SIEM システムは、Kaspersky Security Center Linux からイベントを受信して適切に解析する必要があります。これらの目的に対応できるように、SIEM システムを適切に設定する必要があります。設定は、利用する具体的な SIEM システムによります。ただし、レシーバとパーサーの設定など、すべての SIEM システムの設定で一般的なステップがいくつかあります。