Skip to main content
Loading...

Что значит 'поддерживаемые'?

Концепция нормализации предполагает поиск по всем событиям. Нормализация это процесс извлечения из событий ключей и их значений.
Это необходимо для успешного поиска по событиям, продвинутых механизмов обнаружения, таких как AI и DL.


Почему важна нормализация?

"Найти все события по пользователю admin_west". Специфика SIEM заключается в том, что к системе подключены сотни различных типов источников. Где-то в событиях появляется user_name, где то username, где в общем случае необходимое поле содержится в текстовом блобе. В результате, без нормализации событий, запрос к базе данных будет слишком длинным и тяжелым, или вы получите только часть событий.


Список основных поддерживаемых источников

MS Windows 2000
MS Windows 2003
MS Windows XP
MS Windows 7/8/2008
MS Windows 2012
MS Exchange 2007/2010/2013 (Txt logs + MS Exchange Management event log + RCA Client logs)
MS IIS (w3c)
MS DHCP Server
MS SCCM (через MS SQL БД)
Group-ib Bot-Trek TDS (cef, json)
PaloAlto (CEF, LEEF)
vGate
Linux/Unix/BSD/Suse syslog
Mac OS over syslog
Squid
Apache web server over syslog
Nginx over syslog
Vsftpd over syslog
Mysql over syslog
Dovecot over syslog
Postfix over syslog
Bluecoat
Suricata (syslog+CEF)
SNORT (syslog)
Bro-ids
Checkpoint
Cisco ASA любые
Cisco PIX любые
Cisco catalyst
Cisco FW любые
Cisco WLC
Cisco WSA
Cisco IPS
Cisco Email Security Appliance (ironport)
Cisco ASA Firepower
TrendMicro Control Manager (CEF syslog)
TrendMicro Proxy IWSVA (syslog)
Kaspersky
Symantec (over MS SQL)
СКУД Сфинкс
СКУД Интеллект
СКУД RusGuard
Stonegate Stonesoft
VmWare Esx 5.1, 5.5
Safeinspect (syslog plain/CEF)
SecretNet
Fortine tFortigate
Fortinet Fortianalyzer (syslog)
1С 8.2
AlgosecFW Analyzer
CEF syslog - any sources
Syslog (tcp/udp) - any sourced
Syslog TLS
SDEE (http/https)
EtherStat Microolap Technologies
InfoTecs IDS
Код безопасности
Infowatch Traffic Monitor
Forcepoint Firewall 6x (LEEF).
RNT Forpost monitoring
McAfee Web Gateway (syslog)
McAfee Email Gateway (syslog, CEF, splunk)
McAfee Firewall (LEEF)
McAfee IPS (LEEF, CEF)
McAfee GTI (global threat exchange) parser splunk format
DallasLock
gitolite over syslog
postfix over syslog
dovecot over syslog
fail2ban over syslog

Список поддерживаемых транспортов
  • Microsoft Windows standard event logs (System/Applications/Security)
  • Microsoft Windows custom event logs
  • Microsoft Windows applications event logs
  • Microsoft Windows softwares list
  • Microsoft Windows patches list
  • Microsoft Windows WMI command (get answer to events)
  • Hasher for Windows (get processes, its hashes to events)
  • ms evt and wmi transport
  • Microsoft SQL (tables, views) - any logs
  • Oracle - any logs, Oracle Audit trail
  • MySQL (tables, views)
  • Cisco SDEE
  • Checkpoint LEA
  • File - log files over network shares
  • Ftp - logs into ftp servers
  • Syslog plain
  • Syslog TLS
  • Syslog CEF
  • Syslog LEEF

Это не полный список. Возникли вопросы? Contact us!


Что делать, если в списке нет источника?

Мы постоянно расширяем список поддерживаемых источников. Приоритеты зависят от наших клиентов. Нет проблем и трудностей для добавления новых источников и парсеров.

Если в списке нет источника, свяжитесь с нами, мы поможем вам.