Kaspersky Security Center сбор в CEF формате

Предварительные требования

  • Лицензии: Kaspersky Endpoint Security (расширенная) или Kaspersky Symphony (сбор событий в формате CEF)

Настройка Security Center

Для пересылки событий, зарегистрированных Kaspersky Security Center, в R-Vision SIEM в формате CEF выполните следующие действия:

  1. Откройте консоль управления KSC и выберите сервер администрирования.

  2. Из выпадающего списка Настроить параметры уведомлений и экспорта событий выберите Настроить экспорт в SIEM-систему.

    kaspersky security center console

  3. В раскрывшемся окне укажите следующие параметры:

    • SIEM-система: ArcSight (CEF-формат).

    • Адрес сервера SIEM-системы: Адрес коллектора

    • Порт сервера: Порт точки входа в конвейере.

  4. Сохраните изменения, нажав ОК.

    kaspersky security center console 2

Настройка в R-Vision SIEM

Общий вид рабочего конвейера для обеспечения получения и отображения событий:

kaspersky security center pipeline2

Для сбора событий KSC в формате CEF настройте следующий конвейер:

  1. Добавьте точку входа со следующими параметрами:

    • Тип точки входа: Socket.

    • Название: произвольное, понятное.

    • Порт точки входа: произвольный больше 30000.

  2. Добавьте VRL-трансформацию со следующим содержимым:

    .dvendor = "Kaspersky"
.dproduct = "KSC"

  3. Добавьте нормализатор с правилом "Kaspersky Security Center CEF".

  4. Добавьте конечную точку типа Хранилище событий.

  5. Установите конфигурацию конвейера.

    Если настройка выполнена корректно, в хранилище начнут поступать события KSC.

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение