サポート

法人向けアプリケーション

Kaspersky Security Center 13

Kaspersky Security Center 13.2

SIEM システムへのイベントのエクスポート

イベントのエクスポートについて
Kaspersky Security Center
Нет результатов
Нет результатов
サポートサイト オンラインヘルプ
よくある質問まとめ (FAQ) 最新バージョンに移行する 購入 更新 フォーラム (英語) サポートへ問い合わせる 無料ツール

イベントのエクスポートについて

2023年4月17日

ID 151330

イベントのエクスポートは、組織および技術レベルでセキュリティ問題に対処し、セキュリティ監視サービスを提供し、各種ソリューションからの情報を統合できる、一元化されたシステム内で使用できます。これらは SIEM システムで、ネットワークのハードウェアとアプリケーション、またはセキュリティオペレーションセンター(SOC)によって生成されたセキュリティアラートとイベントをリアルタイムで分析します。

これらのシステムは、ネットワーク、セキュリティ、サーバー、データベース、アプリケーションなど多くのソースからのデータを受信します。SIEM システムは、重要なイベントを見逃すことがないように、監視対象データを統合する機能も提供します。さらに、緊急のセキュリティ問題を管理者に通知するために、相互に関連するイベントとアラートの分析を自動的に実行します。アラートはダッシュボードから発することも、メールなどのサードパーティのチャネルから送信することもできます。

Kaspersky Security Center から外部 SIEM システムにイベントをエクスポートするプロセスには、イベントの送信元である Kaspersky Security Center とイベントのレシーバである SIEM システムの 2 つが関係します。イベントを正常にエクスポートするには、SIEM システムと Kaspersky Security Center 管理コンソールの両方で設定する必要があります。どちらを先に設定してもかまいません。Kaspersky Security Center 管理コンソールからのイベントの送信を設定してから、SIEM システムによるイベントの受信を設定することも、逆の順序で設定することもできます。

Kaspersky Security Center からのイベントの送信方法

Kaspersky Security Center から外部システムにイベントを送信する方法は 3 つあります:

  • Syslog 形式を使用して任意の SIEM システムにイベントを送信

    Syslog プロトコルを使用すると、Kaspersky Security Center 管理サーバーおよび管理対象デバイスにインストールされたカスペルスキー製品で発生したイベントはすべてリレーできます。Syslog プロトコルは、標準メッセージロギングプロトコルです。任意の SIEM システムへのイベントのエクスポートに使用可能です。

    この目的のために、SIEM システムに転送するイベントをマークする必要があります。イベントは、管理コンソールまたはKaspersky Security Center 13.2 Web コンソールでマークできます。マークされたイベントのみが SIEM システムに転送されます。何もマークしなかった場合、イベントは転送されません。

  • CEF 形式と LEEF 形式を使用して、QRadar システム、Splunk システム、ArcSight システムにイベントを送信

    CEF プロトコルと LEEF プロトコルを使用すると、一般イベントをエクスポートできます。CEF プロトコルと LEEF プロトコル経由でイベントをエクスポートする場合、エクスポートする特定のイベントを選択することはできません。代わりに、一般イベントがすべてエクスポートされます。Syslog プロトコルとは異なり、CEF プロトコルと LEEF プロトコルは汎用的なプロトコルではありません。CEF プロトコルと LEEF プロトコルは、対応する一部の SIEM システム(QRadar、Splunk、ArcSight)用です。そのため、これらの形式のいずれかを使用してイベントをエクスポートする場合は、必要なパーサーを SIEM システム内で使用します。

    CEF プロトコルと LEEF プロトコルを使用してイベントをエクスポートするには、管理サーバーで現在のライセンスまたは有効なアクティベーションコードを使用して SIEM システムとの連携機能をアクティベートする必要があります。

  • Kaspersky Security Center のデータベースから直接、任意の SIEM システムにエクスポート

    このイベントのエクスポート方法では、SQL クエリを使用して、データベースのパブリックビューから直接イベントを受信できます。クエリの結果は XML ファイルに保存されるため、外部システムへの入力データとして使用できます。パブリックビューにあるイベントだけをデータベースから直接エクスポートできます。

SIEM システムによるイベントの受信

SIEM システムは、Kaspersky Security Center からイベントを受信して適切に解析する必要があります。これらの目的に対応できるように、SIEM システムを適切に設定する必要があります。設定は、利用する具体的な SIEM システムによります。ただし、レシーバとパーサーの設定など、すべての SIEM システムの設定で一般的なステップがいくつかあります。

関連項目:

シナリオ:SIEM システムへのイベントのエクスポートの設定

Kaspersky Security Center:定常業務を最適化。
どこからでも、どのデバイスでも使用できるパワフルなコンソールでセキュリティとシステムを管理。Endpoint Security for Business Advanced の一部として購入。
拡張テクニカルサポート(MSA):優先度の高いインシデント対応
電話または Web ポータルでサポートを提供。迅速なインシデント対応、監視、正常性チェック。最適なプランを選び、申請して、契約(MSA)をアクティブ化。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。