イベントのエクスポートについて

2024年2月14日

ID 151330_1

イベントのエクスポートは、組織および技術レベルでセキュリティ問題に対処し、セキュリティ監視サービスを提供し、各種ソリューションからの情報を統合できる、一元化されたシステム内で使用できます。これらは SIEM システムで、ネットワークのハードウェアとアプリケーション、またはセキュリティオペレーションセンター(SOC)によって生成されたセキュリティアラートとイベントをリアルタイムで分析します。

これらのシステムは、ネットワーク、セキュリティ、サーバー、データベース、アプリケーションなど多くのソースからのデータを受信します。SIEM システムは、重要なイベントを見逃すことがないように、監視対象データを統合する機能も提供します。さらに、緊急のセキュリティ問題を管理者に通知するために、相互に関連するイベントとアラートの分析を自動的に実行します。アラートはダッシュボードから発することも、メールなどのサードパーティのチャネルから送信することもできます。

Kaspersky Security Center から外部 SIEM システムにイベントをエクスポートするプロセスには、イベントの送信元である Kaspersky Security Center とイベントのレシーバである SIEM システムの 2 つが関係します。イベントを正常にエクスポートするには、SIEM システムと Kaspersky Security Center 管理コンソールの両方で設定する必要があります。どちらを先に設定してもかまいません。Kaspersky Security Center 管理コンソールからのイベントの送信を設定してから、SIEM システムによるイベントの受信を設定することも、逆の順序で設定することもできます。

Kaspersky Security Center からのイベントの送信方法

Kaspersky Security Center から外部システムにイベントを送信する方法は 3 つあります:

  • Syslog 形式を使用して任意の SIEM システムにイベントを送信

    Syslog プロトコルを使用すると、Kaspersky Security Center 管理サーバーおよび管理対象デバイスにインストールされたカスペルスキー製品で発生したイベントはすべてリレーできます。Syslog プロトコルは、標準メッセージロギングプロトコルです。任意の SIEM システムへのイベントのエクスポートに使用可能です。

    この目的のために、SIEM システムに転送するイベントをマークする必要があります。イベントは、管理コンソールまたは Kaspersky Security Center Web コンソールでマークできます。マークされたイベントのみが SIEM システムに転送されます。何もマークしなかった場合、イベントは転送されません。

  • CEF 形式と LEEF 形式を使用して、QRadar システム、Splunk システム、ArcSight システムにイベントを送信

    CEF プロトコルと LEEF プロトコルを使用すると、一般イベントをエクスポートできます。CEF プロトコルと LEEF プロトコル経由でイベントをエクスポートする場合、エクスポートする特定のイベントを選択することはできません。代わりに、一般イベントがすべてエクスポートされます。Syslog プロトコルとは異なり、CEF プロトコルと LEEF プロトコルは汎用的なプロトコルではありません。CEF プロトコルと LEEF プロトコルは、対応する一部の SIEM システム(QRadar、Splunk、ArcSight)用です。そのため、これらの形式のいずれかを使用してイベントをエクスポートする場合は、必要なパーサーを SIEM システム内で使用します。

    CEF プロトコルと LEEF プロトコルを使用してイベントをエクスポートするには、管理サーバーで現在のライセンスまたは有効なアクティベーションコードを使用して SIEM システムとの連携機能をアクティベートする必要があります。

  • Kaspersky Security Center のデータベースから直接、任意の SIEM システムにエクスポート

    このイベントのエクスポート方法では、SQL クエリを使用して、データベースのパブリックビューから直接イベントを受信できます。クエリの結果は XML ファイルに保存されるため、外部システムへの入力データとして使用できます。パブリックビューにあるイベントだけをデータベースから直接エクスポートできます。

SIEM システムによるイベントの受信

SIEM システムは、Kaspersky Security Center からイベントを受信して適切に解析する必要があります。これらの目的に対応できるように、SIEM システムを適切に設定する必要があります。設定は、利用する具体的な SIEM システムによります。ただし、レシーバとパーサーの設定など、すべての SIEM システムの設定で一般的なステップがいくつかあります。

関連項目:

シナリオ:SIEM システムへのイベントのエクスポートの設定

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。