Kaspersky Security Center 云控制台
配置在 SIEM 系统中的事件导出
从 Kaspersky Security Center 云控制台导出事件到外部 SIEM 系统的进程设计两部分:事件发送者,Kaspersky Security Center 云控制台和事件接收者,SIEM 系统。你必须在您的 SIEM 系统和 Kaspersky Security Center 云控制台管理控制台中配置事件导出。
您在 SIEM 系统中指定的设置取决于您使用的系统。通常,对于所有 SIEM 系统,您必须设置接收器和消息解析器(可选)以解析接收的事件。
设置接收器
为了接收 Kaspersky Security Center 云控制台发送的事件,您必须在您的 SIEM 系统中设置接收器。通常,必须在 SIEM 系统指定以下设置:
- 端口
指定用于连接到 Kaspersky Security Center 云控制台的端口号。该端口必须与您在配置 SIEM 系统期间在 Kaspersky Security Center 云控制台中指定的端口相同。
- 消息协议或源类型
指定 Syslog 格式。
根据所使用的 SIEM 系统,您可能需要指定一些附加接收器设置。
消息接收器
导出的事件作为消息被传递到 SIEM 系统。这些消息必须正确解析,以便事件信息可以被 SIEM 系统使用。消息解析器是 SIEM 系统的一部分,它们用于拆分消息内容到相关字段,例如事件 ID、严重级别、描述、参数等等。这将启用 SIEM 系统以处理从 Kaspersky Security Center 云控制台接收的事件,以便它们可以被存储在 SIEM 系统数据库。