Источники и парсеры

Что значит "поддерживаемые"?

Концепция нормализации предполагает поиск по всем событиям. Нормализация это процесс извлечения из событий ключей и их значений.
Это необходимо для успешного поиска по событиям, продвинутых механизмов обнаружения, таких как AI и DL.

Почему важна нормализация?

“Найти все события по пользователю admin_west”. Специфика SIEM заключается в том, что к системе подключены сотни различных типов источников. Где-то в событиях появляется user_name, где то username, где в общем случае необходимое поле содержится в текстовом блобе. В результате, без нормализации событий, запрос к базе данных будет слишком длинным и тяжелым, или вы получите только часть событий.

Список основных поддерживаемых источников

  • 1С 8.3
  • 1С syslog (CEF format)
  • Algosec FW Analyzer
  • Allied telesis
  • Amavis
  • Anacron
  • Apache web server (syslog)
  • Arbor Networks
  • Arp-scan
  • Asterisk
  • Auditd
  • Avaya
  • Bastion
  • Bind
  • Bluecoat
  • Brocade switch
  • Bro-ids
  • CEF syslog
  • CentOS
  • Checkpoint
  • Cisco
    • Cisco ASA 5/6
    • Cisco ASA Firepower
    • Сisco BGP
    • Cisco Catalyst
    • Cisco Email Security Appliance (ironport)
    • Cisco FW
    • Cisco IPS
    • Cisco NGIPS
    • Cisco PIX
    • Cisco WLC
    • Cisco WSA
  • Clearswift Secure Email Gateway
  • DallasLock
  • dbus-daemon
  • Diasoft
  • D-LINK
  • DLP DeviceLock 8.3
  • Dnsmasq
  • Docker
  • Dovecot (syslog)
  • DrWeb
  • Drupal
  • ESET Endpoint Security
  • EtherStat Microolap Technologies
  • fail2ban (syslog)
  • failoverd
  • FreeRADIUS
  • Forcepoint
    • Forcepoint NGFW 6x (LEEF/CEF)
  • Fortinet
    • Fortinet FortiMail
    • Fortinet Fortigate (syslog, cef)
    • Fortinet Fortianalyzer (syslog)
  • Gitolite over syslog
  • Gnome-shell
  • Group-ib Bot-Trek TDS (cef, json)
  • IBM Storage Networking
  • IBM BladeCenter Switch
  • IDS HS
  • Infotecs (требуется наличие ПО ViPNet StateWatcher)
    • InfoTecs VipNet IDS
    • Infotecs VipNet TIAS
    • InfoTecs VipNet Coordinator
  • Infowatch Traffic Monitor
  • Iptables
  • Juniper
  • Kaspersky
    • Kaspersky Antitarget Attack Platform
    • Kaspersky Secure Mail Gateway
    • Kaspesky Security Center CEF/LEEF
    • Kaspesky Security Center Syslog
  • Keepalived
  • Kerio
  • Kiwi solarwinds
  • Klnagent
  • Linux/Unix/BSD/Suse syslog
  • Linux Monit
  • Linux postmaster
  • Mac OS over syslog
  • McAfee ESM
    • McAfee Email Gateway (syslog, CEF, splunk)
    • McAfee Firewall (LEEF)
    • McAfee GTI (global threat exchange) parser splunk format
    • McAfee IPS (LEEF, CEF)
    • McAfee NGFW (CEF)
    • McAfee Web Gateway (syslog)
  • MS DHCP Server
  • MS Exchange 2007/2010/2013 (Txt logs + MS Exchange Management event log + RCA Client logs)
  • MS IIS (w3c)
  • MS SCCM (через MS SQL БД)
  • Microsoft Windows
    • MS Windows 2000 Server
    • MS Windows 2003 Server
    • MS Windows 2008 Server
    • MS Windows 2008 R2 Server
    • MS Windows 2012 Server
    • MS Windows 7/8/10
  • Mikrotik: DNS, SMB, web-proxy
  • Mysql over syslog
  • Named
  • Netflow
  • Netgate
  • Network Manager
  • Nginx
    • Nginx over syslog
  • Ntpd
  • OpenVPN
  • Oracle Audit
  • OracleDB for Linux
  • Ossec
  • PaloAlto (CEF, LEEF)
  • Panda Antivirus
  • Pgsql
  • Php-fpm 7.1
  • Postgresql
  • Postfix over syslog
  • PTAF
  • Radware Defence pro
  • Red Hat
  • Red Hat IDM (freeIPA)
  • RNT Forpost Monitoring
  • RuAgent
  • Safeinspect (syslog plain/CEF)
  • SDEE (http/https)
  • Sendmail
  • Session watcher
  • SNORT (syslog)
  • Squid
  • Sophos XG Firewall SFVH
  • Sophos Antivirus
  • SSH (RuAgent)
  • Sshd
  • Staffcop
  • S-terra
  • Stonegate Stonesoft
  • Suricata (syslog+CEF)
  • Symantec (over MS SQL)
  • Symantec Endpoint Protection
  • Synology
  • Syslog (tcp/udp)
  • Syslog TLS
  • Sysmon (RuAgent)
  • System info (RuAgent)
  • Systemd
  • systemd-resolved
  • TrendMicro Control Manager (CEF syslog)
  • TrendMicro Proxy IWSVA (syslog)
  • Ubiquiti
    • Ubiquiti UniFi AP LR
  • UserGate
    • UserGate UTM (CEF)
    • UserGate NGFW (CEF)
  • vGate
  • VMware ESX
  • VMware ESXi
  • Vsftpd over syslog
  • WAF Fortiweb
  • Yum
  • Zecurion
  • Zimbra
  • Zyxel
  • АРМ КБР-Н
  • БОСС-кадровик
  • ДБО (Бифит)
  • Микросервисы RuSIEM
  • СКУД RusGuard
  • СКУД Интеллект
  • СКУД Сфинкс
  • ЦБ РМ КБР-Н

Список поддерживаемых транспортов

  • Microsoft Windows standard event logs (System/Applications/Security)
  • Microsoft Windows custom event logs
  • Microsoft Windows applications event logs
  • Microsoft Windows softwares list
  • Microsoft Windows patches list
  • Microsoft Windows WMI command (get answer to events)
  • Hasher for Windows (get processes, its hashes to events)
  • ms evt and wmi transport
  • Microsoft SQL (tables, views) — any logs
  • Secure Shell Protocol (ssh) 
  • Telnet
  • SysMon
  • Oracle — any logs, Oracle Audit trail
  • MySQL (tables, views)
  • PostgreSQL
  • Cisco SDEE
  • Checkpoint LEA
  • File — log files over network shares
  • Ftp — logs into ftp servers
  • Syslog plain
  • Syslog TLS
  • Syslog CEF
  • Syslog LEEF
  • NetFlow (3,6,9)

Это не полный список. Возникли вопросы? Свяжитесь с нами!

Что делать, если в списке нет источника?

Мы постоянно расширяем список поддерживаемых источников. Приоритеты зависят от наших клиентов. Нет проблем и трудностей для добавления новых источников и парсеров.

Если в списке нет источника, свяжитесь с нами, мы поможем вам.