Den Ereignisexport in ein SIEM-System konfigurieren

5. Dezember 2024

ID 151335

Am Ablauf des Ereignisexports aus Kaspersky Security Center Cloud Console in die externen SIEM-Systeme sind zwei Seiten beteiligt: der Absender der Ereignisse – Kaspersky Security Center Cloud Console – und der Empfänger der Ereignisse – ein SIEM-System. Der Ereignisexport wird im verwendeten SIEM-System und in der Kaspersky Security Center Cloud Console angepasst.

Die Einstellungen, die im SIEM-System vorgenommen werden, sind vom System abhängig, das Sie verwenden. Im Allgemeinen müssen für alle SIEM-Systeme der Empfänger der Nachrichten und, falls erforderlich, der Nachrichtenparser angepasst werden, damit die erhaltenen Nachrichten auf die Felder verteilt werden können.

Einstellungen des Empfängers der Nachrichten

Für das SIEM-Systems muss der Empfänger für den Erhalt der Ereignisse, die von Kaspersky Security Center Cloud Console gesendet werden, angepasst werden. Im Allgemeinen müssen im SIEM-System die folgenden Einstellungen angegeben werden:

Je nach verwendetem SIEM-System kann erforderlich sein, erweiterte Einstellungen für den Empfänger der Nachrichten anzugeben.

Nachrichtenparser

Die exportierten Ereignisse werden in Form von Nachrichten an das SIEM-System übergeben. Dann wird für diese Nachrichten der Parser verwendet, damit die Informationen über die Ereignisse entsprechend ins SIEM-System übergeben werden. Der Nachrichtenparser ist im SIEM-System integriert – er wird für die Aufteilung der Nachrichten in Felder, etwa Ereignis-ID, Signifikanz, Beschreibung und die übrigen Einstellungen verwendet. Daraufhin hat das SIEM-System die Möglichkeit, die Ereignisse, die aus Kaspersky Security Center Cloud Console empfangen werden, so zu verarbeiten, dass sie in der Datenbank des SIEM-Systems gespeichert werden.

Siehe auch:

Szenario: Ereignisexport in SIEM-Systeme konfigurieren

');
Kaspersky Endpoint Security for Business Advanced:
Adaptive Sicherheit für Ihr Unternehmen
Web- und Gerätekontrolle. Datenverschlüsselung. Simples und benutzerfreundliches Sicherheitsmanagement über eine Konsole.
');
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.