Sobre a exportação de eventos usando formatos CEF e LEEF
Você pode usar os formatos CEF e LEEF para exportar eventos gerais, bem como eventos transferidos pelos aplicativos Kaspersky para o Servidor de Administração. O conjunto de eventos exportado é predefinido, e você não pode selecionar os eventos a ser exportados.
Para exportar eventos através dos protocolos CEF e LEEF, o recurso Integração com dos sistemas SIEM deve ser ativado no Servidor de Administração usando uma chave de licença ativa ou um código de ativação válido.
Selecione o formato de exportação com base no sistema SIEM usado. A tabela abaixo mostra os sistemas SIEM e os formatos de exportação correspondentes.
Formatos da exportação de eventos para um sistema SIEM
SIEM system | Formato de exportação |
---|---|
QRadar | LEEF |
ArcSight | CEF |
Splunk | CEF |
- LEEF (Formato Estendido de Evento de Log) – Um formato de evento customizado para o IBM Security QRadar SIEM. O QRadar pode integrar, identificar e processar eventos LEEF. Os eventos de LEEF devem usar a codificação de caractere UTF-8. Você pode encontrar as informações detalhadas sobre o protocolo LEEF no IBM Knowledge Center.
- CEF (Formato de Evento Comum) – Um padrão de gerenciamento de registro aberto que aprimora a interoperabilidade da informação relativa a segurança de diferentes dispositivos de segurança e de rede e aplicativos. O CEF lhe permite usar um formato de registro de evento comum para que os dados possam ser facilmente integrados e agregados para a análise por um sistema de gerenciamento corporativo. Os eventos de CEF devem usar a codificação de caractere UTF-8.
A exportação automática significa que o Kaspersky Security Center envie eventos gerais ao sistema SIEM. A exportação automática de eventos inicia imediatamente após você a ativar. Esta seção explica detalhadamente como ativar a exportação automática de eventos.