Источники и парсеры

Концепция нормализации предполагает поиск по всем событиям. Нормализация это процесс извлечения из событий ключей и их значений. Это необходимо для успешного поиска по событиям, продвинутых механизмов обнаружения, таких как AI и DL.

“Найти все события по пользователю admin_west”. Специфика SIEM заключается в том, что к системе подключены сотни различных типов источников. Где-то в событиях появляется user_name, где то username, где в общем случае необходимое поле содержится в текстовом блоке. В результате, без нормализации событий, запрос к базе данных будет слишком длинным и тяжелым, или вы получите только часть событий.

Мы постоянно расширяем список поддерживаемых источников. Приоритеты зависят от наших клиентов. Нет проблем и трудностей для добавления новых источников и парсеров.

Если в списке нет источника, свяжитесь с нами, мы поможем вам.

Список поддерживаемых источников

• АРМ КБР-Н
• АудитПлюс
• БОСС-кадровик
• ДБО (Бифит)
• 1С Битрикс24

˗ Nginx

• 1C 8.3

˗ 1C Управление торговлей
˗ 1С Зарплата и управление персоналом
˗ 1C Комплексная автоматизация
˗ 1С Бухгалтерия
˗ 1C XBRL

• A-real

˗ Ics

• ABRT
• Algosec FW Analyzer
• AIDE
• Allied Telesis

˗ Switch

• Amavis
• AOAVT (Концерт Автоматика)

˗ ФОРПОСТ

• Apache

˗ Spamd
˗ Zookeeper
˗ Suexec
˗ Mesos

• Arbor Networks

˗ PFSP

• Asterisk
• Astra Linux

˗ ALD Pro
˗ Event-diagnostics
˗ Fly-dm
˗ Fly-qdm
˗ Fly-getexe

• ASUS

˗ ASMB

• Atlassian

˗ Jira

• Auditd
• Avaya
• Bastion

˗ СКДПУ НТ

• BDCOM

˗ Switch

• Bluecoat

˗ ProxySG

• BRO

˗ BRO-IDS

• Brocade

˗ Switch
˗ Fabricos

• Caddy

˗ Web server

• CBR

˗ Armkbr-n

• Checkpoint

˗ NGFW
˗ Firewall
˗ Security Gateway
˗ Gaiaos
- Harmony EDR

• Centos
• CEF syslog
• Cisco

˗ ASA
˗ BGP
˗ PIX
˗ FTD
˗ IOS
˗ Clamav
˗ Catalyst
˗ Smallbusiness
˗ WLC
˗ WSA
˗ Firepower
˗ FW
˗ NGIPS
˗ SNORT
˗ ESA
˗ ISE
˗ IPS

• Clearswift

˗ SEG

• Communigate

˗ Communigatepro

• Confident

˗ Dallaslock

• Courier-mta

˗ Mail server

• Cowrie
• Crushftp
• КриптоПро

˗ NGate

• КиберПротего DLP
• Cybertec-postgresql

˗ Vip-manager

• D-link

˗ Switch
˗ Firewall
˗ Wireless
˗ Controller

• Dejavu

˗ Engine

• Dell

˗ iDrac
˗ Networking

• Diasoft
• DeviceLock DLP
• Docker

˗ Dokerd
˗ Containerd

• Dovecot
• Drupal
• Dr. Web

˗ Drwcs-messages
˗ Drwevess

• Эшелон

˗ Scaner-vs

• Elasticsearch

˗ Filebeat
˗ Auditbeat

• Eltex

˗ Router
˗ Switch

• ESET Endpoint Security

˗ Remote Administration

• Etcd
• Exim
• ˗ Mail server
• F5

˗ ASM

• Forcepoint NGFW 6x
• Fortinet

˗ Fortigate
˗ Fortimail
˗ Fortianalyzer
˗ Fortiweb
˗ Fortimanager

• FreeRADIUS
• Гарда

˗ Гарда DB
˗ Гарда Monitor
˗ Гарда Deception 1.11.0 (ex. Bastion)

• Gnome

˗ Gnomeshell
˗ Gnomekeyring

• Grafana

˗ Loki
˗ Grafana promtail

• Group IB

˗ Bot-trek
˗ THF

• Gitolite
• Haproxy
• hMailServer
• HPE

˗ Aruba
˗ Networking
˗ Switch
˗ ILO

• Huawei

˗ Router
˗ Switch

• IBM

˗ Bladecenter
˗ Storage Networking

• IDS HS
• Ideco

˗ UTM
˗ NGFW

• Indeed

˗ PAM
˗ EA

• Infotecs (требуется наличие ПО ViPNet StateWatcher)

˗ Infotecs VipNet IDS
˗ Infotecs VipNet TIAS
˗ Infotecs VipNet Coordinator
- Infotecs VipNet EPP

• Infowatch

˗ Attackkiller
˗ TrafficMonitor

• Isimplelab

˗ Dbo

• Juniper
• Kaspersky

˗ Kaspesky Security Center (KSC)
˗ Kaspersky Anti Target Attack Platform (KATA)
˗ Kaspersky Secure Mail Gateway (KSMG)
˗ Kaspersky Web Traffic Security (KWTS)
˗ KLN Agent
˗ AVS
˗ Kav4proxy
˗ KESL
˗ Kaspersky Industrial Cyber Security (KICS)

• Kerio

˗ Kerio control
˗ Kerio connect

• Kiwi solarwindsMo
• Kron PAM
• Kubernetes

˗ Kubelet
˗ Logging

• Laurel
• Lenovo

˗ Xclarity

• Linux

˗ Iptables
˗ run-parts
˗ policyd
˗ 50-motd-news
˗ agetty, anacron
˗ apport
˗ arp-scan
˗ arpwatch
˗ atd
˗ autofs
˗ avahi-daemon
˗ backup.sh
˗ bind
˗ blkmapd
˗ chfn
˗ chronyd
˗ cron
˗ cupsd
˗ cyrussasl
˗ davfs
˗ dbus
˗ dbus-broker
˗ dbus-daemon
˗ dm multipath
˗ dmeventd
˗ dnf
˗ dnsmasq
˗ dpkg
˗ dropbear
˗ fail2ban
˗ failoverd
˗ fstrim
˗ groupadd
˗ groupdel
˗ groupmod
˗ hostapd
˗ init
˗ iofiltervpd
˗ os-prober
˗ chown
˗ apt
˗ rpm
˗ lightdm
˗ ipmitool
˗ ipvsadm
˗ keepalived_vrrp
˗ kernel
˗ lldpd
˗ login
˗ logrotate
˗ lua
˗ lvm
˗ monit
˗ networkd-dispatcher
˗ networkmanager
˗ nfsidmap
˗ notifier
˗ ntfs-3g
˗ ntpd
˗ ntpdate
˗ opendkim
˗ overmind
˗ packagekit
˗ pidof
˗ pinger
˗ spice
˗ bluez
˗ polkit
˗ postfix
˗ pppd
˗ proftpd
˗ roundcube
˗ rsyslog
˗ samba
˗ session_watcher
˗ shutdown
˗ slapd
˗ smartd
˗ snmpd
˗ sshd
˗ sshguard
˗ sssd
˗ stunnel
˗ su
˗ sudo
˗ syslogd
˗ system
˗ system
˗ system-resolved
˗ thttpd
˗ ufw
˗ update-notifier.desktop
˗ usb-modem
˗ useradd
˗ userdel
˗ usermod
˗ vpn-snmpd
˗ vsftpd
˗ yum
˗ pam_auth
˗ dhcpd
˗ chpasswd
˗ root
˗ cgi
˗ modsec
˗ cracklib
˗ pmxcfs
˗ bash
˗ vsftp
˗ fwupd
˗ sessionclean
˗ snapd
˗ snapd-desktop-integration
˗ thermal
˗ cloud-init
˗ oddjob-gpupdate
˗ mtp-probe
˗ fontconfig
˗ m*milter-greylist
˗ i*inetd
˗ i*ipt_netflow
˗ r*runuser
˗ Passwd
˗ Kerberos
˗ Ldapsearch
˗ Augenrules
˗ Umount
˗ wpa_supplicant
˗ zed
˗ ssh
˗ ipa
˗ sh
˗ gssproxy
˗ mount
˗ pac
˗ ifp
˗ nss
˗ be
˗ rndc
˗ sftp-server
˗ libddcutil
˗ libvirt
˗ powerdevil
˗ x2go
˗ cpupower
˗ xparsec
˗ fusermount
˗ lxcfs

• LXD
• Merak mail server
• Mac OS over syslog
• Maipu switch
• ManageEngine

˗ Adauditplus

• Mate

˗ Desktop

• MDaemon
• McAfee

˗ ESM
˗ GTI
˗ EmailGateway
˗ Firewall
˗ IPS

• Microlink
• Microolap (EtherStat)
• Mikrotik
• MS SQL
• MySQL
• MS Windows

˗ MS Windows 2000 Server
˗ MS Windows 2003 Server
˗ MS Windows 2008 Server
˗ MS Windows 2008 R2 Server
˗ MS Windows 2012 Server
˗ MS Windows 7/8/10/11
˗ MS Exchange (Txt logs, Management event log, RCA client logs)
˗ MS DNS Server
˗ MS DHCP Server
˗ MS Forefront
˗ MS IIS (w3c)
˗ MS ISA

• Modsecurity WAF
• Moxa switch
• Multifactor

˗ LDAP adapter
˗ Radius
˗ Adapter

• Nagios
• Nemesida WAF

• Netgate (Pfsense)
• New Security (SafeInspect)
• Nextcloud
• Nginx
• Nlnetlabs (Unbound)
• Nmap
• Гамма (Krechet IDS)
• NSD (transit 2.0)
• Ntop
• OpenVAS
• OpenVPN
• Oracle

˗ Oracle audit

• Ossec
• Paloalto (Pan OS)
• Panda

˗ Panda General
˗ Panda Security
˗ Panda Request

• PHP

˗ PHP-fpm

• Positive Technologies

˗ ISIM
˗ Application Firewall
˗ Application Inspector
˗ NAD

• Proxmox

˗ PVE
˗ PBS

• PostgreSQL

˗ Postmaster
˗ Psql

• Pulse Secure VPN
• Python
• Qnap NAS
• Radware (defensepro)
• Red Hat

˗ FreeIPA
˗ Rhnsd
˗ Rhamd

• RT Solar

˗ Solar Dozor
˗ Solar appscreener

• S-Terra

˗ S-Terra gate
˗ S-Terra L2

• Safetica DLP
• Safib assistant
• SearchInform Alert Center
• КОД Безопасности

˗ АПКШ “Континент” 3.9, 4
˗ IDS
˗ VGate
˗ Secretnet
˗ Secretnet LSP
˗ WAF
- Континент TLS

• Sendmail
• Shtormtech Cascana
• SNR switch
• Solidsoft (Solidwall)
• Sophos

˗ Firewall
˗ Firewall UTM

• Squid
• Ssec (Argus)
• Ssecline (stethoscope)
• Staffcop
• Strongswan (Charon)
• Suricata
• Swordfish (Appsec.hub)
• Symantec Endpoint Protection
• Synology Rackstation
• Sysco Multiotp
• T8 (DWDM Volga)
• TrendMicro

˗ IWSVA
˗ Apex central
˗ TrendMicro CM
˗ TrendMicro DSA

• Tripwire Enterprise
• Ubiquiti (Unifi)
• Unlimited production (Express)
• Usergate

˗ UTM
˗ NGFW

• Veeam Backup
• VMware

˗ VCD
˗ VCentre
˗ VSphere
˗ VScan
˗ ESX
˗ ESXi
˗ Tools
˗ Saltstack
- VCSA

• Xello (Xello-deception)
• ClickHouse
• Zabbix
• Zalando (Patroni)
• Zecurion

˗ Traffic Control
˗ Zagent
˗ Zecurion reports
˗ DLP

• Zelax switch
• Zimbra

˗ Zimbramon
˗ Zmconfigd

• Zyxel

˗ Switch
˗ Zywall
˗ Keenetic

• RedCheck
• Amazon (s3fs)
• Ceph
• Citrix Netscaler
• Corosync
• Fujitsu
• Hashicorp Consul
• Jenkins
• MariaDB
• Profiscope
• Prometheus
• R-Vision SOAR
• Redis
• Ytti Oxidized
• Extremenetworks (Wing)
• Falconegaze DLP
• Qtech switch
• Unix/BSD/Suse
• Система видеонаблюдения Trassir
• СКУД SIGUR
• СКУД RusGuard
• СКУД Интеллект
• СКУД Сфинкс
• СЭД TESSA
• ЦБ РМ КБР-Н
• Bolid Orion
• СЭД Tessa
• SCCM MS SQL
• RedCheck
• AvCSP
• Bifit
• Axxonsoft
• Inteletc
• Parus
• Named
• PERCo
• SDEE (http/https)
• RuAgent
• Session watcher
• Stonegate Stonesoft
• Sysmon
• System info
• Микросервисы RuSIEM

˗ Lsinput
˗ Frs_server
˗ Lsfilter
˗ Lselastic

• 3COM
• QBIS Bank
• EXTREAM Network (WiFi controller)
• BI.ZONE EDR
• NetApp Data ONTAP
• Watchguard
• Spectrum
• Pcp
• Poligon
• Distkontrol
• Extreme Networks
• Falcongaze

- Security Tower

• Bastion-tech

Список поддерживаемых транспортов