Escenario: Configurar la exportación de eventos a sistemas SIEM
Kaspersky Security Center permite la configuración mediante uno de los siguientes métodos: exportar a cualquier sistema SIEM que utilice formato Syslog, exportar a los sistemas SIEM QRadar, Splunk y ArcSight que utilizan formatos LEEF y CEF o exportar eventos a sistemas SIEM directamente desde la base de datos de Kaspersky Security Center. Cuando complete este escenario, el Servidor de administración enviará los eventos al sistema SIEM automáticamente.
Requisitos previos
Antes de configurar la exportación de eventos en Kaspersky Security Center, haga lo siguiente:
- Lea sobre los métodos disponibles para exportar eventos.
- Asegúrese de contar con los valores de la configuración del sistema.
Los pasos aquí descritos pueden realizarse en cualquier orden.
El proceso para exportar eventos a un sistema SIEM consiste de los siguientes pasos:
- Configuración del sistema SIEM para que reciba eventos de Kaspersky Security Center
Instrucciones: Configurar la exportación de eventos en un sistema SIEM
- Seleccionar eventos que desea exportar al sistema SIEM:
Instrucciones:
- Consola de administración: Marcar eventos de una aplicación de Kaspersky para exportarlos en formato Syslog, Marcar eventos generales para que se los exporte en formato Syslog
- Kaspersky Security Center Web Console: Marcado de eventos de una aplicación de Kaspersky para exportar en formato Syslog, Marcado de eventos generales para exportar en formato Syslog
- Configuración de la exportación de eventos a sistemas SIEM mediante uno de los siguientes métodos:
- Mediante los protocolos TCP/IP, UDP o TLS over TCP.
Instrucciones:
- Consola de administración: Configurar la exportación de eventos a sistemas SIEM
- Kaspersky Security Center Web Console: Configuración de la exportación de eventos a sistemas SIEM
- Mediante una exportación de los eventos directamente de la base de datos de Kaspersky Security Center (la base de datos de Kaspersky Security Center proporciona un conjunto de vistas públicas, que se describen en el documento klakdb.chm).
- Mediante los protocolos TCP/IP, UDP o TLS over TCP.
Resultados
Tras configurar la exportación de eventos al sistema SIEM, si marcó eventos como exportables, podrá ver los resultados de la exportación.