SIEM システムでのイベントのエクスポートの設定について

2024年5月20日

ID 151335

Kaspersky Security Center Linux から外部 SIEM システムにイベントをエクスポートするプロセスには、イベントの送信元である Kaspersky Security Center Linux とイベントのレシーバである SIEM システムの 2 つが関係します。イベントのエクスポートは、SIEM システムと Kaspersky Security Center Linux の両方で設定する必要があります。

SIEM システムで指定する設定は、使用している個々のシステムにより異なります。一般に、すべての SIEM システムでレシーバを設定する必要があり、受信イベントを解析するためのメッセージパーサーを任意で設定します。

レシーバの設定

Kaspersky Security Center Linux から送信されたイベントを受信するには、SIEM システムでレシーバを設定する必要があります。一般に、SIEM システムで次の設定を指定する必要があります:

  • エクスポートプロトコル

    メッセージ送信プロトコル(UDP、TCP、TLS over TCP)。このプロトコルは、Kaspersky Security Center Linux で指定したプロトコルと同じにする必要があります。

  • ポート

    Kaspersky Security Center Linux に接続するポート番号を指定します。このポートは SIEM システムの設定中に Kaspersky Security Center Linux で指定したポートと同じポートである必要があります。

  • データ形式

    Syslog 形式を指定します。

使用する SIEM システムによっては、受信者の設定を一部追加で指定する必要があります。

次の図は、ArcSight の受信者のセットアップ画面を示します。

ArcSight で、レシーバのセットアップ画面は[Configuration]タブにあります。レシーバの設定は次のように指定します:レシーバ名は tcp cef、IP/ホスト プロパティは All、ポートは 616、エンコーディングは UTF-8、ソースタイプは CEF。

ArcSight でのレシーバのセットアップ

メッセージパーサー

エクスポートされたイベントはメッセージとして SIEM システムに渡されます。SIEM システムでイベントに関する情報が利用できるように、これらのメッセージを適切に解析する必要があります。メッセージパーサーは SIEM システムの一部です。イベントの ID、重大度、説明、パラメータなど関連フィールドにメッセージの内容を分けるために使用します。メッセージの内容を分けることで、SIEM システムは Kaspersky Security Center Linux から受信したイベントを処理して、SIEM システムデータベースに保管することができます。

関連項目:

シナリオ:SIEM システムへのイベントのエクスポートの設定

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。