How to export events to Splunk [KSC for Windows]

[Igor Akhmetov]

Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials.

This article is about Kaspersky Security Center for Windows (KSC for Windows)

Step-by-step guide

Make sure that System Management license is installed, otherwise KSC events won't be exported to SIEM. For more information please refer to SIEM integration: the most frequent error.
 

1. Specify Splunk Server address and port;
   
   
   
    
2. Login into Splunk Management console;
   
   
   
    
3. Press Settings → Configure data inputs;
   
   
   
    
4. In the opened Add Data window 
   - select TCP;
   - Specify Port you are planning to use. And a Source (KSC server address or DNS-name).
   
   
   
    
5. Configure Source type: choose Select and pick syslog from drop down menu. Configure Host: set IP for Method 
   
   
   
    
6. Check the settings on a result screen;
   
   
   
    
7. Open Splunk home page and press Search & Reporting;
   
   
   
    
8. Make sure that KSC event were indexed by Splunk correctly as expected;
   
   
   
    
9. Right now you are able to see raw KSC events.
   
   

 

[spl18]

Доброе утро!

В настоящей статье Вы в .9 написали "Прямо сейчас вы можете просматривать необработанные события KSC.", вопросы:

1. Пожалуйста раскройте смысл слова "необработанные" пояснением, как понимаю из статей в help они должны быть в стандартном для splunk формате и  их парсинг должен быть успешный. Статьи имел ввиду эти -https://support.kaspersky.com/help/KSC/13.2/ru-RU/151327.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/89277.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/151331.htm 

2. Будьте любезны подсказать нет ли у вас "образца" или ссылки на обсуждение или источник где можно почерпнуть набор  конфигурационных файлов splunk (transforms.conf, props.conf, tags.conf, eventtypes.conf и т.д.) для аддона Kaspersky Add-on for Splunk (скачать который можно по  https://splunkbase.splunk.com/app/4656 Latest Version 0.1.4 April 10, 2020). Хоть он и старый этот аддон и больше не поддерживается производителем я его использую, но набор конфигов в нём не парсит события из KSC передаваемые в splunk в формате Syslog (RFC 5424) - печаль, полагаю вы наверно сталкивались с такой ситуацией и есть решения, моих неглубоких знаний хватит конечно конфиги поравить но это будет очень медленно, надеюсь на быстрые решения и помощь)

Доп пояснения:

* Использую SIEM SPLUNK (пока тренюсь на бесплатной версии , с ограничением по количеству экспортируемых событий)

* У нас лицензионный KSC 13.2, лицензия позволяет транслировать в SIEM  как в формате CEF так и в формате Syslog (RFC 5424), я выбрал последний, настроил экспорт по UDP протоколу, выбрал экспортируемые события на KSC и в политиках групп, настроил коннектор на индексере splunk, всё отлично накапливается и отображается при поиске в splunk в виде и формате как у Вас на последнем скрине, именно в виде необработанных событий, то есть парсинг не работает(