# KSC CEF

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

<p class="callout info">Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/KUMA/2.1/ru-RU/241235.htm](https://support.kaspersky.com/KUMA/2.1/ru-RU/241235.htm "Настройка получения событий Kaspersky Security Center в формате CEF")</p>

<p class="callout warning">Функция экспорта событий Kaspersky Security Center в SIEM-системы в формате CEF доступна при наличии лицензии Kaspersky Endpoint Security для бизнеса **Расширенный** или **выше**.</p>

<p class="callout warning">С версии KSC от 15.1 наличие лицензии не важно. Подробнее: [https://support.kaspersky.ru/ksc/15.1/12521](https://support.kaspersky.ru/ksc/15.1/12521) </p>

### Настройка передачи событий KSC в формате CEF

Чтобы настроить передачу событий от Сервера администрирования Kaspersky Security Center в SIEM-систему KUMA:

1\. В дереве консоли Kaspersky Security Center выберите узел **<span class="guicharacter">Сервер администрирования</span>**.

2\. В рабочей области узла выберите вкладку **<span class="guicharacter">События</span>**.

3\. Перейдите по ссылке **<span class="guicharacter">Настроить параметры уведомлений и экспорта событий</span>** и в раскрывающемся списке выберите **<span class="guicharacter">Настроить экспорт в SIEM-систему</span>**.

Откроется окно <span class="guicharacter">**Свойства**: **События**</span>.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/GWvimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/GWvimage.png)

4\. Установите флажок **<span class="guicharacter">Автоматически экспортировать события в базу SIEM-системы</span>**.

5\. В раскрывающемся списке <span class="guicharacter">SIEM-система</span> выберите **<span class="guicharacter">ArcSight (CEF-формат)</span>**.[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/AtKimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/AtKimage.png)

6\. Укажите адрес сервера SIEM-системы KUMA и порт для подключения к серверу в соответствующих полях.

По кнопке **<span class="guicharacter">Экспортировать архив</span>** Kaspersky Security Center экспортирует уже созданные события в базу SIEM-системы KUMA с указанной даты. По умолчанию Kaspersky Security Center экспортирует события с текущей даты.

7\. Нажмите на кнопку **<span class="guicharacter">ОК</span>**.

---

### Настройка коллектора KUMA

1\. В веб-интерфейсе KUMA перейдите в раздел **Ресурсы** → **Коллекторы**.

2\. В списке коллекторов найдите коллектор с нормализатором **\[OOTB\] KSC** и откройте его для редактирования.

<details id="bkmrk-%D0%A7%D1%82%D0%BE-%D0%B4%D0%B5%D0%BB%D0%B0%D1%82%D1%8C%2C-%D0%B5%D1%81%D0%BB%D0%B8-%D0%BA%D0%BE%D0%BB"><summary>Что делать, если ресурс не доступен для редактирования</summary>

Начиная с версии KUMA 2.1 OOTB ресурсы недоступны для редактирования. В таком случае необходимо скопировать OOTB-ресурс и произвести редактирование в копии этого ресурса.

<p class="callout danger">Важно! При копировании OOTB ресурса, копируется и становится доступным для редактирования только сам ресурс. Связанные ресурсы нужно копировать и привязывать отдельно.</p>

</details>3\. На шаге **Транспорт** в поле **URL** укажите порт, по которому коллектор будет получать события Kaspersky Security Center.

4\. Порт должен совпадать с портом сервера SIEM-системы KUMA, указанным в настройках на стороне KSC.

5\. На шаге Парсинг событий проверьте, что выбран нормализатор **\[OOTB\] KSC**.

6\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

- **Хранилище**. Для отправки обработанных событий в хранилище.
- **Коррелятор**. Для отправки обработанных событий в коррелятор.

Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их.

7\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**.

8\. Скопируйте появившуюся команду для установки коллектора KUMA.