Источники и парсеры

Концепция нормализации предполагает поиск по всем событиям. Нормализация это процесс извлечения из событий ключей и их значений. Это необходимо для успешного поиска по событиям, продвинутых механизмов обнаружения, таких как AI и DL.

“Найти все события по пользователю admin_west”. Специфика SIEM заключается в том, что к системе подключены сотни различных типов источников. Где-то в событиях появляется user_name, где то username, где в общем случае необходимое поле содержится в текстовом блоке. В результате, без нормализации событий, запрос к базе данных будет слишком длинным и тяжелым, или вы получите только часть событий.

Мы постоянно расширяем список поддерживаемых источников. Приоритеты зависят от наших клиентов. Нет проблем и трудностей для добавления новых источников и парсеров.

Если в списке нет источника, свяжитесь с нами, мы поможем вам.

• АРМ КБР-Н
• АудитПлюс
• БОСС-кадровик
• ДБО (Бифит)
• 1С Битрикс24

⇒⇒⇒˗ Nginx

• 1C 8.3

⇒⇒⇒˗ 1C Управление торговлей
⇒⇒⇒˗ 1С Зарплата и управление персоналом
⇒⇒⇒˗ 1C Комплексная автоматизация
⇒⇒⇒˗ 1С Бухгалтерия
⇒⇒⇒˗ 1C XBRL

• A-real

⇒⇒⇒˗ Ics

• ABRT
• Algosec FW Analyzer
• AIDE
• Allied Telesis

⇒⇒⇒˗ Switch

• Amavis
• AOAVT (Концерт Автоматика)

⇒⇒⇒˗ ФОРПОСТ

• Apache

⇒⇒⇒˗ Spamd
⇒⇒⇒˗ Zookeeper
⇒⇒⇒˗ Suexec
⇒⇒⇒˗ Mesos

• Arbor Networks

⇒⇒⇒˗ PFSP

• Asterisk
• Astra Linux

⇒⇒⇒˗ ALD Pro
⇒⇒⇒˗ Event-diagnostics
⇒⇒⇒˗ Fly-dm
⇒⇒⇒˗ Fly-qdm
⇒⇒⇒˗ Fly-getexe

• ASUS

⇒⇒⇒˗ ASMB

• Atlassian

⇒⇒⇒˗ Jira

• Auditd
• Authelia
• Avaya
• Avsoft

⇒⇒⇒- Athena

• Bastion

⇒⇒⇒˗ СКДПУ НТ

• BDCOM

⇒⇒⇒˗ Switch

• Bluecoat

⇒⇒⇒˗ ProxySG

• BRO

⇒⇒⇒˗ BRO-IDS

• Brocade

⇒⇒⇒˗ Switch
⇒⇒⇒˗ Fabricos

• Caddy

⇒⇒⇒˗ Web server

• CBR

⇒⇒⇒˗ Armkbr-n

• Checkpoint

⇒⇒⇒˗ NGFW
⇒⇒⇒˗ Firewall
⇒⇒⇒˗ Security Gateway
⇒⇒⇒˗ Gaiaos
⇒⇒⇒- Harmony EDR

• Centos
• CEF syslog
• Cisco

⇒⇒⇒˗ ASA
⇒⇒⇒˗ BGP
⇒⇒⇒˗ PIX
⇒⇒⇒˗ FTD
⇒⇒⇒˗ IOS
⇒⇒⇒˗ Clamav
⇒⇒⇒˗ Catalyst
⇒⇒⇒˗ Smallbusiness
⇒⇒⇒˗ WLC
⇒⇒⇒˗ WSA
⇒⇒⇒˗ Firepower
⇒⇒⇒˗ FW
⇒⇒⇒˗ NGIPS
⇒⇒⇒˗ SNORT
⇒⇒⇒˗ ESA
⇒⇒⇒˗ ISE
⇒⇒⇒˗ IPS

• Clearswift

⇒⇒⇒˗ SEG

• Communigate

⇒⇒⇒˗ Communigatepro

• Confident⇒⇒⇒

⇒⇒⇒˗ Dallaslock

• Courier-mta

⇒⇒⇒˗ Mail server

• Cowrie
• Crushftp
• КриптоПро

⇒⇒⇒˗ NGate

• КиберПротего DLP
• Cyberprotect
• Cybertec-postgresql

⇒⇒⇒˗ Vip-manager

• D-link

⇒⇒⇒˗ Switch
⇒⇒⇒˗ Firewall
⇒⇒⇒˗ Wireless
⇒⇒⇒˗ Controller

• Dejavu

⇒⇒⇒˗ Engine

• Dell

⇒⇒⇒˗ iDrac
⇒⇒⇒˗ Networking

• Diasoft
• DeviceLock DLP
• Docker

⇒⇒⇒˗ Dokerd
⇒⇒⇒˗ Containerd

• Dovecot
• Drupal
• Dr. Web

⇒⇒⇒˗ Drwcs-messages
⇒⇒⇒˗ Drwevess

• Эшелон

⇒⇒⇒˗ Scaner-vs

• Elasticsearch

⇒⇒⇒˗ Filebeat
⇒⇒⇒˗ Auditbeat

• Eltex

⇒⇒⇒˗ Router
⇒⇒⇒˗ Switch

• ESET Endpoint Security

⇒⇒⇒˗ Remote Administration

• Etcd
• Exim

⇒⇒⇒˗ Mail server

• F5

⇒⇒⇒˗ ASM

• Forcepoint FW
• Forcepoint NGFW 6x
• Fortinet

⇒⇒⇒˗ Fortigate
⇒⇒⇒˗ Fortimail
⇒⇒⇒˗ Fortianalyzer
⇒⇒⇒˗ Fortiweb
⇒⇒⇒˗ Fortimanager

• FreeRADIUS
• Гарда

⇒⇒⇒˗ Гарда DB
⇒⇒⇒˗ Гарда Monitor
⇒⇒⇒˗ Гарда Deception 1.11.0 (ex. Bastion)

• Gnome

⇒⇒⇒˗ Gnomeshell
⇒⇒⇒˗ Gnomekeyring

• Grafana

⇒⇒⇒˗ Loki
⇒⇒⇒˗ Grafana promtail

• F6

⇒⇒⇒˗ Bot-trek
⇒⇒⇒˗ THF

• Gitolite
• Haproxy
• hMailServer
• HPE

⇒⇒⇒˗ Aruba
⇒⇒⇒˗ Networking
⇒⇒⇒˗ Switch
⇒⇒⇒˗ ILO

• Huawei

⇒⇒⇒˗ Router
⇒⇒⇒˗ Switch

• IBM

⇒⇒⇒˗ Bladecenter
⇒⇒⇒˗ Storage Networking

• IDS HS
• Ideco

⇒⇒⇒˗ UTM
⇒⇒⇒˗ NGFW

• Indeed

⇒⇒⇒˗ PAM
⇒⇒⇒˗ EA

• Infotecs (требуется наличие ПО ViPNet StateWatcher)

⇒⇒⇒˗ Infotecs VipNet IDS
⇒⇒⇒˗ Infotecs VipNet TIAS
⇒⇒⇒˗ Infotecs VipNet Coordinator
⇒⇒⇒- Infotecs VipNet EPP

• Infowatch

⇒⇒⇒˗ Attackkiller
⇒⇒⇒˗ TrafficMonitor

• Isimplelab

⇒⇒⇒˗ Dbo

• Jetbrains
• Juniper
• Kaspersky

⇒⇒⇒˗ Kaspesky Security Center (KSC)
⇒⇒⇒˗ Kaspersky Anti Target Attack Platform (KATA)
⇒⇒⇒˗ Kaspersky Secure Mail Gateway (KSMG)
⇒⇒⇒˗ Kaspersky Web Traffic Security (KWTS)
⇒⇒⇒˗ KLN Agent
⇒⇒⇒˗ AVS
⇒⇒⇒˗ Kav4proxy
⇒⇒⇒˗ KESL
⇒⇒⇒˗ Kaspersky Industrial Cyber Security (KICS)

• Kerio

⇒⇒⇒˗ Kerio control
⇒⇒⇒˗ Kerio connect

• Kiwi solarwindsMo
• Kron PAM
• Kubernetes

⇒⇒⇒˗ Kubelet
⇒⇒⇒˗ Logging

• Laurel
• Lenovo

⇒⇒⇒˗ Xclarity

• Linux

⇒⇒⇒˗ Iptables
⇒⇒⇒˗ run-parts
⇒⇒⇒˗ policyd
⇒⇒⇒˗ 50-motd-news
⇒⇒⇒˗ agetty, anacron
⇒⇒⇒˗ apport
⇒⇒⇒˗ arp-scan
⇒⇒⇒˗ arpwatch
⇒⇒⇒˗ atd
⇒⇒⇒˗ autofs
⇒⇒⇒˗ avahi-daemon
⇒⇒⇒˗ backup.sh
⇒⇒⇒˗ bind
⇒⇒⇒˗ blkmapd
⇒⇒⇒˗ chfn
⇒⇒⇒˗ chronyd
⇒⇒⇒˗ cron
⇒⇒⇒˗ cupsd
⇒⇒⇒˗ cyrussasl
⇒⇒⇒˗ davfs
⇒⇒⇒˗ dbus
⇒⇒⇒˗ dbus-broker
⇒⇒⇒˗ dbus-daemon
⇒⇒⇒˗ dm multipath
⇒⇒⇒˗ dmeventd
⇒⇒⇒˗ dnf
⇒⇒⇒˗ dnsmasq
⇒⇒⇒˗ dpkg
⇒⇒⇒˗ dropbear
⇒⇒⇒˗ fail2ban
⇒⇒⇒˗ failoverd
⇒⇒⇒˗ fstrim
⇒⇒⇒˗ groupadd
⇒⇒⇒˗ groupdel
⇒⇒⇒˗ groupmod
⇒⇒⇒˗ hostapd
⇒⇒⇒˗ init
⇒⇒⇒˗ iofiltervpd
⇒⇒⇒˗ os-prober
⇒⇒⇒˗ chown
⇒⇒⇒˗ apt
⇒⇒⇒˗ rpm
⇒⇒⇒˗ lightdm
⇒⇒⇒˗ ipmitool
⇒⇒⇒˗ ipvsadm
⇒⇒⇒˗ keepalived_vrrp
⇒⇒⇒˗ kernel
⇒⇒⇒˗ lldpd
⇒⇒⇒˗ login
⇒⇒⇒˗ logrotate
⇒⇒⇒˗ lua
⇒⇒⇒˗ lvm
⇒⇒⇒˗ monit
⇒⇒⇒˗ networkd-dispatcher
⇒⇒⇒˗ networkmanager
⇒⇒⇒˗ nfsidmap
⇒⇒⇒˗ notifier
⇒⇒⇒˗ ntfs-3g
⇒⇒⇒˗ ntpd
⇒⇒⇒˗ ntpdate
⇒⇒⇒˗ opendkim
⇒⇒⇒˗ overmind
⇒⇒⇒˗ packagekit
⇒⇒⇒˗ pidof
⇒⇒⇒˗ pinger
⇒⇒⇒˗ spice
⇒⇒⇒˗ bluez
⇒⇒⇒˗ polkit
⇒⇒⇒˗ postfix
⇒⇒⇒˗ pppd
⇒⇒⇒˗ proftpd
⇒⇒⇒˗ roundcube
⇒⇒⇒˗ rsyslog
⇒⇒⇒˗ samba
⇒⇒⇒˗ session_watcher
⇒⇒⇒˗ shutdown
⇒⇒⇒˗ slapd
⇒⇒⇒˗ smartd
⇒⇒⇒˗ snmpd
⇒⇒⇒˗ sshd
⇒⇒⇒˗ sshguard
⇒⇒⇒˗ sssd
⇒⇒⇒˗ stunnel
⇒⇒⇒˗ su
⇒⇒⇒˗ sudo
⇒⇒⇒˗ syslogd
⇒⇒⇒˗ system
⇒⇒⇒˗ system
⇒⇒⇒˗ system-resolved
⇒⇒⇒˗ thttpd
⇒⇒⇒˗ ufw
⇒⇒⇒˗ update-notifier.desktop
⇒⇒⇒˗ usb-modem
⇒⇒⇒˗ useradd
⇒⇒⇒˗ userdel
⇒⇒⇒˗ usermod
⇒⇒⇒˗ vpn-snmpd
⇒⇒⇒˗ vsftpd
⇒⇒⇒˗ yum
⇒⇒⇒˗ pam_auth
⇒⇒⇒˗ dhcpd
⇒⇒⇒˗ chpasswd
⇒⇒⇒˗ root
⇒⇒⇒˗ cgi
⇒⇒⇒˗ modsec
⇒⇒⇒˗ cracklib
⇒⇒⇒˗ pmxcfs
⇒⇒⇒˗ bash
⇒⇒⇒˗ vsftp
⇒⇒⇒˗ fwupd
⇒⇒⇒˗ sessionclean
⇒⇒⇒˗ snapd
⇒⇒⇒˗ snapd-desktop-integration
⇒⇒⇒˗ thermal
⇒⇒⇒˗ cloud-init
⇒⇒⇒˗ oddjob-gpupdate
⇒⇒⇒˗ mtp-probe
⇒⇒⇒˗ fontconfig
⇒⇒⇒˗ m*milter-greylist
⇒⇒⇒˗ i*inetd
⇒⇒⇒˗ i*ipt_netflow
⇒⇒⇒˗ r*runuser
⇒⇒⇒˗ Passwd
⇒⇒⇒˗ Kerberos
⇒⇒⇒˗ Ldapsearch
⇒⇒⇒˗ Augenrules
⇒⇒⇒˗ Umount
⇒⇒⇒˗ wpa_supplicant
⇒⇒⇒˗ zed
⇒⇒⇒˗ ssh
⇒⇒⇒˗ ipa
⇒⇒⇒˗ sh
⇒⇒⇒˗ gssproxy
⇒⇒⇒˗ mount
⇒⇒⇒˗ pac
⇒⇒⇒˗ ifp
⇒⇒⇒˗ nss
⇒⇒⇒˗ be
⇒⇒⇒˗ rndc
⇒⇒⇒˗ sftp-server
⇒⇒⇒˗ libddcutil
⇒⇒⇒˗ libvirt
⇒⇒⇒˗ powerdevil
⇒⇒⇒˗ x2go
⇒⇒⇒˗ cpupower
⇒⇒⇒˗ xparsec
⇒⇒⇒˗ fusermount
⇒⇒⇒˗ lxcfs

• LXD
• Merak mail server
• Mac OS over syslog
• Maipu switch
• ManageEngine

⇒⇒⇒˗ Adauditplus

• Mate

⇒⇒⇒˗ Desktop

• MDaemon
• McAfee

⇒⇒⇒˗ ESM
⇒⇒⇒˗ GTI
⇒⇒⇒˗ EmailGateway
⇒⇒⇒˗ Firewall
⇒⇒⇒˗ IPS

• Microlink
• Microolap (EtherStat)
• Mikrotik
• MS SQL
• MySQL
• MS Windows

⇒⇒⇒˗ MS Windows 2000 Server
⇒⇒⇒˗ MS Windows 2003 Server
⇒⇒⇒˗ MS Windows 2008 Server
⇒⇒⇒˗ MS Windows 2008 R2 Server
⇒⇒⇒˗ MS Windows 2012 Server
⇒⇒⇒˗ MS Windows 7/8/10/11
⇒⇒⇒˗ MS Exchange (Txt logs, Management event log, RCA client logs)
⇒⇒⇒˗ MS DNS Server
⇒⇒⇒˗ MS DHCP Server
⇒⇒⇒˗ MS Forefront
⇒⇒⇒˗ MS IIS (w3c)
⇒⇒⇒˗ MS ISA

• Modsecurity WAF
• Moxa switch
• Multifactor

⇒⇒⇒˗ LDAP adapter
⇒⇒⇒˗ Radius
⇒⇒⇒˗ Adapter

• Nagios
• Nemesida WAF

• Netgate (Pfsense)
• New Security (SafeInspect)
• Nextcloud
• Nginx
• Nlnetlabs (Unbound)
• Nmap
• Гамма (Krechet IDS)
• NSD (transit 2.0)
• Ntop
• OpenVAS
• OpenVPN
• Oracle

⇒⇒⇒˗ Oracle audit

• Ossec
• Paloalto (Pan OS)
• Panda

⇒⇒⇒˗ Panda General
⇒⇒⇒˗ Panda Security
⇒⇒⇒˗ Panda Request

• PHP

⇒⇒⇒˗ PHP-fpm

• Positive Technologies

⇒⇒⇒˗ ISIM
⇒⇒⇒˗ Application Firewall
⇒⇒⇒˗ Application Inspector
⇒⇒⇒˗ NAD

• Proxmox

⇒⇒⇒˗ PVE
⇒⇒⇒˗ PBS

• PostgreSQL

⇒⇒⇒˗ Postmaster
⇒⇒⇒˗ Psql

• Pulse Secure VPN
• Python
• Qnap NAS
• Radware (defensepro)
• Red Hat

⇒⇒⇒˗ FreeIPA
⇒⇒⇒˗ Rhnsd
⇒⇒⇒˗ Rhamd

• RT Solar

⇒⇒⇒˗ Solar Dozor
⇒⇒⇒˗ Solar appscreener

• Ruijie
• S-Terra

⇒⇒⇒˗ S-Terra gate
⇒⇒⇒˗ S-Terra L2

• Safetica DLP
• Safib assistant
• SearchInform Alert Center
• КОД Безопасности

⇒⇒⇒˗ АПКШ “Континент” 3.9, 4
⇒⇒⇒˗ IDS
⇒⇒⇒˗ VGate
⇒⇒⇒˗ Secretnet
⇒⇒⇒˗ Secretnet LSP
⇒⇒⇒˗ WAF
⇒⇒⇒- Континент TLS

• Sendmail
• Shtormtech Cascana
• SNR switch
• Solidsoft (Solidwall)
• Sophos

⇒⇒⇒˗ Firewall
⇒⇒⇒˗ Firewall UTM

• Squid
• Ssec (Argus)
• Ssecline (stethoscope)
• Staffcop
• Strongswan (Charon)
• Suricata
• Swordfish (Appsec.hub)
• Symantec Endpoint Protection
• Synology Rackstation
• Sysco Multiotp
• T8 (DWDM Volga)
• Telekom
• TrendMicro

⇒⇒⇒˗ IWSVA
⇒⇒⇒˗ Apex central
⇒⇒⇒˗ TrendMicro CM
⇒⇒⇒˗ TrendMicro DSA

• Tripwire Enterprise
• Ubiquiti (Unifi)
• Unlimited production (Express)
• Usergate

⇒⇒⇒˗ UTM
⇒⇒⇒˗ NGFW

• Veeam Backup
• VMware

⇒⇒⇒˗ VCD
⇒⇒⇒˗ VCentre
⇒⇒⇒˗ VSphere
⇒⇒⇒˗ VScan
⇒⇒⇒˗ ESX
⇒⇒⇒˗ ESXi
⇒⇒⇒˗ Tools
⇒⇒⇒˗ Saltstack
⇒⇒⇒- VCSA

• Xello (Xello-deception)
• ClickHouse
• Zabbix
• Zalando (Patroni)
• Zecurion

⇒⇒⇒˗ Traffic Control
⇒⇒⇒˗ Zagent
⇒⇒⇒˗ Zecurion reports
⇒⇒⇒˗ DLP

• Zelax switch
• Zimbra

⇒⇒⇒˗ Zimbramon
⇒⇒⇒˗ Zmconfigd

• Zyxel

⇒⇒⇒˗ Switch
⇒⇒⇒˗ Zywall
⇒⇒⇒˗ Keenetic

• RedCheck
• Amazon (s3fs)
• Ceph
• Citrix Netscaler
• Corosync
• Fujitsu
• Hashicorp Consul
• Jenkins
• MariaDB
• Profiscope
• Prometheus
• R-Vision IRP
• Redis
• Ytti Oxidized
• Extremenetworks (Wing)
• Falconegaze DLP
• Qtech switch
• Unix/BSD/Suse
• Система видеонаблюдения Trassir
• СКУД SIGUR
• СКУД RusGuard
• СКУД Интеллект
• СКУД Сфинкс
• СЭД TESSA
• ЦБ РМ КБР-Н
• Bolid Orion
• СЭД Tessa
• SCCM MS SQL
• RedCheck
• AvCSP
• Bifit
• Axxonsoft
• Inteletc
• Parus
• Named
• PERCo
• SDEE (http/https)
• RuAgent
• Session watcher
• Stonegate Stonesoft
• Sysmon
• System info
• Микросервисы RuSIEM

⇒⇒⇒˗ Lsinput
⇒⇒⇒˗ Frs_server
⇒⇒⇒˗ Lsfilter
⇒⇒⇒˗ Lselastic

• 3COM
• QBIS Bank
• EXTREAM Network (WiFi controller)
• BI.ZONE EDR
• NetApp Data ONTAP
• Watchguard
• Spectrum
• Pcp
• Poligon
• Distkontrol
• Extreme Networks
• Falcongaze

⇒⇒⇒- Security Tower

• Bastion-tech
• Стахановец

⇒⇒⇒- DLP

• Стахановец: Полный контроль
• СХД ASUSTOR AS6508T
• TeamCity
• GitLab v16
• Commvault Backup