イベントのエクスポートについて
Kaspersky Security Center Cloud コンソールでは、管理サーバーと管理対象デバイスにインストールされた他のカスペルスキー製品の動作中に発生したイベントの情報を受信できます。イベントに関する情報は管理サーバーデータベースに保存されます。
イベントのエクスポートは、組織および技術レベルでセキュリティ問題に対処し、セキュリティ監視サービスを提供し、各種ソリューションからの情報を統合できる、一元化されたシステム内で使用できます。これらは SIEM システムで、ネットワークのハードウェアとアプリケーション、またはセキュリティオペレーションセンター(SOC)によって生成されたセキュリティアラートとイベントをリアルタイムで分析します。
これらのシステムは、ネットワーク、セキュリティ、サーバー、データベース、アプリケーションなど多くのソースからのデータを受信します。SIEM システムは、重要なイベントを見逃すことがないように、監視対象データを統合する機能も提供します。さらに、緊急のセキュリティ問題を管理者に通知するために、相互に関連するイベントとアラートの分析を自動的に実行します。アラートはダッシュボードから発することも、メールなどのサードパーティのチャネルから送信することもできます。
Kaspersky Security Center Cloud コンソールから外部 SIEM システムにイベントをエクスポートするプロセスには、イベントの送信元である Kaspersky Security Center Cloud コンソールとイベントのレシーバである SIEM システムの 2 つが関係します。イベントを正常にエクスポートするには、SIEM システムと Kaspersky Security Center Cloud コンソールの両方で設定する必要があります。どちらを先に設定してもかまいません。Kaspersky Security Center Cloud コンソールからのイベントの送信を設定してから、SIEM システムによるイベントの受信を設定するか、逆の順序でこれらの設定を行うこともできます。
イベントのエクスポートの Syslog 形式
Syslog 形式のイベントを任意の SIEM システムに送信できます。Syslog 形式を使用すると、管理サーバーおよび管理対象デバイスにインストールされたカスペルスキー製品で発生したイベントをすべてリレーできます。Syslog 形式でイベントをエクスポートする場合は、SIEM システムにリレーするイベントの種別を正確に選択できます。
SIEM システムによるイベントの受信
SIEM システムは、Kaspersky Security Center Cloud コンソールからイベントを受信して適切に解析する必要があります。これらの目的に対応できるように、SIEM システムを適切に設定する必要があります。設定は、利用する具体的な SIEM システムによります。ただし、レシーバとパーサーの設定など、すべての SIEM システムの設定で一般的なステップがいくつかあります。