關於事件匯出
卡巴斯基安全管理中心雲端主控台可讓您接收管理伺服器和受管理裝置上所安裝 Kaspersky 應用程式的操作事件資訊。事件資訊儲存在管理伺服器資料庫。
您可以將事件匯出用在處理組織和技術級別的安全問題的中心系統中,提供安全監控服務,以及從不同解決方案合併資訊。即是提供對網路硬體和應用程式生成的安全警告的即時分析的 SIEM 系統,或者安全操作中心 (SOCs)。
這些系統可以從許多來源接收資料,包括網路、安全、伺服器、資料庫和應用程式。SIEM 系統也提供功能以集成監控的資料,以便說明您避免遺失關鍵事件。而且,系統執行相關事件和警告的自動分析以通知管理員安全問題。警告可以透過儀表板實現,或可以透過協力廠商管道傳送,例如郵件。
從卡巴斯基安全管理中心雲端主控台匯出事件到外部 SIEM 系統的程序涉及兩個當事方:事件傳送方 (卡巴斯基安全管理中心雲端主控台) 以及事件接收方(SIEM 系統)。若要成功匯出事件,您必須在您的 SIEM 系統和卡巴斯基安全管理中心雲端主控台中進行設定。您可以先設定任意一端。您可以在卡巴斯基安全管理中心雲端主控台中設定傳送事件,並在 SIEM 系統中設定接收事件(執行順序並不重要)。
事件匯出的 Syslog 格式
您可以將 Syslog 格式的事件傳送到任何 SIEM 系統。使用 Syslog 格式,您可以轉發發生在管理伺服器上和受管理裝置上安裝的 Kaspersky 應用程式中的任意事件。當以 Syslog 格式匯出事件時,您可以精確選取轉發哪些事件種類到 SIEM 系統。
透過 SIEM 系統接收事件
SIEM 系統必須要收到並正確解析來自卡巴斯基安全管理中心雲端主控台的事件。因為這些目的,您必須正確設定 SIEM 系統。設定取決於特定的 SIEM 系統。然而,有一些設定所有 SIEM 系統的通用步驟,例如設定接收器和解析器。