Источники и парсеры

ЧТО ЗНАЧИТ "ПОДДЕРЖИВАЕМЫЕ"?
Концепция нормализации предполагает поиск по всем событиям. Нормализация это процесс извлечения из событий ключей и их значений. Это необходимо для успешного поиска по событиям, продвинутых механизмов обнаружения, таких как AI и DL.
ПОЧЕМУ ВАЖНА НОРМАЛИЗАЦИЯ?
“Найти все события по пользователю admin_west”. Специфика SIEM заключается в том, что к системе подключены сотни различных типов источников. Где-то в событиях появляется user_name, где то username, где в общем случае необходимое поле содержится в текстовом блоке. В результате, без нормализации событий, запрос к базе данных будет слишком длинным и тяжелым, или вы получите только часть событий.
ЧТО ДЕЛАТЬ, ЕСЛИ В СПИСКЕ НЕТ ИСТОЧНИКА?
Мы постоянно расширяем список поддерживаемых источников. Приоритеты зависят от наших клиентов. Нет проблем и трудностей для добавления новых источников и парсеров.

Если в списке нет источника, свяжитесь с нами, мы поможем вам.
Список поддерживаемых источников
  • АРМ КБР-Н
  • АудитПлюс
  • БОСС-кадровик
  • ДБО (Бифит)
  • 1С Битрикс24
˗ Nginx
  • 1C 8.3
˗ 1C Управление торговлей
˗ 1С Зарплата и управление персоналом
˗ 1C Комплексная автоматизация
˗ 1С Бухгалтерия
˗ 1C XBRL
  • A-real
˗ Ics
˗ Switch
  • Amavis
  • AOAVT (Концерт Автоматика)
˗ ФОРПОСТ
  • Apache
˗ Spamd
˗ Zookeeper
˗ Suexec
˗ Mesos
  • Arbor Networks
˗ PFSP
  • Asterisk
  • Astra Linux
˗ ALD Pro
˗ Event-diagnostics
˗ Fly-dm
˗ Fly-qdm
˗ Fly-getexe
  • ASUS
˗ ASMB
  • Atlassian
˗ Jira
  • Auditd
  • Avaya
  • Bastion
˗ СКДПУ НТ
  • BDCOM
˗ Switch
  • Bluecoat
˗ ProxySG
  • BRO
˗ BRO-IDS
  • Brocade
˗ Switch
˗ Fabricos
  • Caddy
˗ Web server
  • CBR
˗ Armkbr-n
  • Checkpoint
˗ NGFW
˗ Firewall
˗ Security Gateway
˗ Gaiaos
- Harmony EDR
  • Centos
  • CEF syslog
  • Cisco
˗ ASA
˗ BGP
˗ PIX
˗ FTD
˗ IOS
˗ Clamav
˗ Catalyst
˗ Smallbusiness
˗ WLC
˗ WSA
˗ Firepower
˗ FW
˗ NGIPS
˗ SNORT
˗ ESA
˗ ISE
˗ IPS
  • Clearswift
˗ SEG
  • Communigate
˗ Communigatepro
  • Confident
˗ Dallaslock
  • Courier-mta
˗ Mail server
  • Cowrie
  • Crushftp
  • КриптоПро
˗ NGate
  • КиберПротего DLP
  • Cybertec-postgresql
˗ Vip-manager
  • D-link
˗ Switch
˗ Firewall
˗ Wireless
˗ Controller
  • Dejavu
˗ Engine
  • Dell
˗ iDrac
˗ Networking
  • Diasoft
  • DeviceLock DLP
  • Docker
˗ Dokerd
˗ Containerd
  • Dovecot
  • Drupal
  • Dr. Web
˗ Drwcs-messages
˗ Drwevess
  • Эшелон
˗ Scaner-vs
  • Elasticsearch
˗ Filebeat
˗ Auditbeat
  • Eltex
˗ Router
˗ Switch
  • ESET Endpoint Security
˗ Remote Administration
  • Etcd
  • Exim
˗ Mail server
  • F5
˗ ASM
  • Forcepoint NGFW 6x
  • Fortinet
˗ Fortigate
˗ Fortimail
˗ Fortianalyzer
˗ Fortiweb
˗ Fortimanager
  • FreeRADIUS
  • Гарда
˗ Гарда DB
˗ Гарда Monitor
˗ Гарда Deception 1.11.0 (ex. Bastion)
  • Gnome
˗ Gnomeshell
˗ Gnomekeyring
  • Grafana
˗ Loki
˗ Grafana promtail
  • Group IB
˗ Bot-trek
˗ THF
  • Gitolite
  • Haproxy
  • hMailServer
  • HPE
˗ Aruba
˗ Networking
˗ Switch
˗ ILO
· Huawei
˗ Router
˗ Switch
  • F5
˗ ASM
  • Forcepoint NGFW 6x
  • Fortinet
˗ Fortigate
˗ Fortimail
˗ Fortianalyzer
˗ Fortiweb
˗ Fortimanager
  • FreeRADIUS
  • Гарда
˗ Гарда DB
˗ Гарда Monitor
˗ Гарда Deception 1.11.0 (ex. Bastion)
  • Gnome
˗ Gnomeshell
˗ Gnomekeyring
  • Grafana
˗ Loki
˗ Grafana promtail
  • Group IB
˗ Bot-trek
˗ THF
  • Gitolite
  • Haproxy
  • hMailServer
  • HPE
˗ Aruba
˗ Networking
˗ Switch
˗ ILO
  • Huawei
˗ Router
˗ Switch
  • IBM
˗ Bladecenter
˗ Storage Networking
  • IDS HS
  • Ideco
˗ UTM
˗ NGFW
  • Indeed
˗ PAM
˗ EA
  • Infotecs (требуется наличие ПО ViPNet StateWatcher)
˗ Infotecs VipNet IDS
˗ Infotecs VipNet TIAS
˗ Infotecs VipNet Coordinator
- Infotecs VipNet EPP
  • Infowatch
˗ Attackkiller
˗ TrafficMonitor
  • Isimplelab
˗ Dbo
  • Juniper
  • Kaspersky
˗ Kaspesky Security Center (KSC)
˗ Kaspersky Anti Target Attack Platform (KATA)
˗ Kaspersky Secure Mail Gateway (KLMS)
˗ Kaspersky Web Traffic Security (KWTS)
˗ KLN Agent
˗ AVS
˗ Kav4proxy
˗ KESL
˗ Kaspersky Industrial Cyber Security (KICS)
  • Kerio
˗ Kerio control
˗ Kerio connect
  • Kiwi solarwindsMo
  • Kron PAM
  • Kubernetes
˗ Kubelet
˗ Logging
  • Laurel
  • Lenovo
˗ Xclarity
  • Linux
˗ Iptables
˗ run-parts
˗ policyd
˗ 50-motd-news
˗ agetty, anacron
˗ apport
˗ arp-scan
˗ arpwatch
˗ atd
˗ autofs
˗ avahi-daemon
˗ backup.sh
˗ bind
˗ blkmapd
˗ chfn
˗ chronyd
˗ cron
˗ cupsd
˗ cyrussasl
˗ davfs
˗ dbus
˗ dbus-broker
˗ dbus-daemon
˗ dm multipath
˗ dmeventd
˗ dnf
˗ dnsmasq
˗ dpkg
˗ dropbear
˗ fail2ban
˗ failoverd
˗ fstrim
˗ groupadd
˗ groupdel
˗ groupmod
˗ hostapd
˗ init
˗ iofiltervpd
˗ os-prober
˗ chown
˗ apt
˗ rpm
˗ lightdm
˗ ipmitool
˗ ipvsadm
˗ keepalived_vrrp
˗ kernel
˗ lldpd
˗ login
˗ logrotate
˗ lua
˗ lvm
˗ monit
˗ networkd-dispatcher
˗ networkmanager
˗ nfsidmap
˗ notifier
˗ ntfs-3g
˗ ntpd
˗ ntpdate
˗ opendkim
˗ overmind
˗ packagekit
˗ pidof
˗ pinger
˗ spice
˗ bluez
˗ polkit
˗ postfix
˗ pppd
˗ proftpd
˗ roundcube
˗ rsyslog
˗ samba
˗ session_watcher
˗ shutdown
˗ slapd
˗ smartd
˗ snmpd
˗ sshd
˗ sshguard
˗ sssd
˗ stunnel
˗ su
˗ sudo
˗ syslogd
˗ system
˗ system
˗ system-resolved
˗ thttpd
˗ ufw
˗ update-notifier.desktop
˗ usb-modem
˗ useradd
˗ userdel
˗ usermod
˗ vpn-snmpd
˗ vsftpd
˗ yum
˗ pam_auth
˗ dhcpd
˗ chpasswd
˗ root
˗ cgi
˗ modsec
˗ cracklib
˗ pmxcfs
˗ bash
˗ vsftp
˗ fwupd
˗ sessionclean
˗ snapd
˗ snapd-desktop-integration
˗ thermal
˗ cloud-init
˗ oddjob-gpupdate
˗ mtp-probe
˗ fontconfig
˗ m*milter-greylist
˗ i*inetd
˗ i*ipt_netflow
˗ r*runuser
˗ Passwd
˗ Kerberos
˗ Ldapsearch
˗ Augenrules
˗ Umount
˗ wpa_supplicant
˗ zed
˗ ssh
˗ ipa
˗ sh
˗ gssproxy
˗ mount
˗ pac
˗ ifp
˗ nss
˗ be
˗ rndc
˗ sftp-server
˗ libddcutil
˗ libvirt
˗ powerdevil
˗ x2go
˗ cpupower
˗ xparsec
˗ fusermount
˗ lxcfs
  • LXD
  • Merak mail server
  • Mac OS over syslog
  • Maipu switch
  • ManageEngine
˗ Adauditplus
  • Mate
˗ Desktop
  • MDaemon
  • McAfee
˗ ESM
˗ GTI
˗ EmailGateway
˗ Firewall
˗ IPS
  • Microlink
  • Microolap (EtherStat)
  • Mikrotik
  • MS SQL
  • MySQL
  • MS Windows
˗ MS Windows 2000 Server
˗ MS Windows 2003 Server
˗ MS Windows 2008 Server
˗ MS Windows 2008 R2 Server
˗ MS Windows 2012 Server
˗ MS Windows 7/8/10/11
˗ MS Exchange (Txt logs, Management event log, RCA client logs)
˗ MS DNS Server
˗ MS DHCP Server
˗ MS Forefront
˗ MS IIS (w3c)
˗ MS ISA
  • Modsecurity WAF
  • Moxa switch
  • Multifactor
˗ LDAP adapter
˗ Radius
˗ Adapter
  • Nagios
  • Nemesida WAF
  • Netgate (Pfsense)
  • New Security (SafeInspect)
  • Nextcloud
  • Nginx
  • Nlnetlabs (Unbound)
  • Nmap
  • Гамма (Krechet IDS)
  • NSD (transit 2.0)
  • Ntop
  • OpenVAS
  • OpenVPN
  • Oracle
˗ Oracle audit
  • Ossec
  • Paloalto (Pan OS)
  • Panda
˗ Panda General
˗ Panda Security
˗ Panda Request
  • PHP
˗ PHP-fpm
  • Positive Technologies
˗ ISIM
˗ Application Firewall
˗ Application Inspector
˗ NAD
  • Proxmox
˗ PVE
˗ PBS
  • PostgreSQL
˗ Postmaster
˗ Psql
  • Pulse Secure VPN
  • Python
  • Qnap NAS
  • Radware (defensepro)
  • Red Hat
˗ FreeIPA
˗ Rhnsd
˗ Rhamd
  • RT Solar
˗ Solar Dozor
˗ Solar appscreener
  • S-Terra
˗ S-Terra gate
˗ S-Terra L2
  • Safetica DLP
  • Safib assistant
  • SearchInform Alert Center
  • КОД Безопасности
˗ АПКШ “Континент” 3.9, 4
˗ IDS
˗ VGate
˗ Secretnet
˗ Secretnet LSP
˗ WAF
- Континент TLS
  • Sendmail
  • Shtormtech Cascana
  • SNR switch
  • Solidsoft (Solidwall)
  • Sophos
˗ Firewall
˗ Firewall UTM
  • Squid
  • Ssec (Argus)
  • Ssecline (stethoscope)
  • Staffcop
  • Strongswan (Charon)
  • Suricata
  • Swordfish (Appsec.hub)
  • Symantec Endpoint Protection
  • Synology Rackstation
  • Sysco Multiotp
  • T8 (DWDM Volga)
  • TrendMicro
˗ IWSVA
˗ Apex central
˗ TrendMicro CM
˗ TrendMicro DSA
  • Tripwire Enterprise
  • Ubiquiti (Unifi)
  • Unlimited production (Express)
  • Usergate
˗ UTM
˗ NGFW
  • Veeam Backup
  • VMware
˗ VCD
˗ VCentre
˗ VSphere
˗ VScan
˗ ESX
˗ ESXi
˗ Tools
˗ Saltstack
- VCSA
  • Xello (Xello-deception)
  • ClickHouse
  • Zabbix
  • Zalando (Patroni)
  • Zecurion
˗ Traffic Control
˗ Zagent
˗ Zecurion reports
˗ DLP
  • Zelax switch
  • Zimbra
˗ Zimbramon
˗ Zmconfigd
  • Zyxel
˗ Switch
˗ Zywall
˗ Keenetic
  • RedCheck
  • Amazon (s3fs)
  • Ceph
  • Citrix Netscaler
  • Corosync
  • Fujitsu
  • Hashicorp Consul
  • Jenkins
  • MariaDB
  • Profiscope
  • Prometheus
  • R-Vision SOAR
  • Redis
  • Ytti Oxidized
  • Extremenetworks (Wing)
  • Falconegaze DLP
  • Qtech switch
  • Unix/BSD/Suse
  • Система видеонаблюдения Trassir
  • СКУД SIGUR
  • СКУД RusGuard
  • СКУД Интеллект
  • СКУД Сфинкс
  • СЭД TESSA
  • ЦБ РМ КБР-Н
  • Bolid Orion
  • СЭД Tessa
  • SCCM MS SQL
  • RedCheck
  • AvCSP
  • Bifit
  • Axxonsoft
  • Inteletc
  • Parus
  • Named
  • PERCo
  • SDEE (http/https)
  • RuAgent
  • Session watcher
  • Stonegate Stonesoft
  • Sysmon
  • System info
  • Микросервисы RuSIEM
˗ Lsinput
˗ Frs_server
˗ Lsfilter
˗ Lselastic
  • 3COM
  • QBIS Bank
  • EXTREAM Network (WiFi controller)
  • BI.ZONE EDR
  • NetApp Data ONTAP
  • Watchguard
  • Spectrum
  • Pcp
  • Poligon
  • Distkontrol
  • Extreme Networks
  • Falcongaze
- Security Tower
  • Bastion-tech
Список поддерживаемых транспортов
  • Microsoft Windows standard event logs (System/Applications/Security)
  • Microsoft Windows custom event logs
  • Microsoft Windows applications event logs
  • Microsoft Windows softwares list
  • Microsoft Windows patches list
  • Microsoft Windows WMI command (get answer to events)
  • Hasher for Windows (get processes, its hashes to events)
  • ms evt and wmi transport
  • Microsoft SQL (tables, views) — any logs
  • Secure Shell Protocol (ssh)
  • Telnet
  • SysMon
  • Oracle — any logs, Oracle Audit trail
  • MySQL (tables, views)
  • PostgreSQL
  • Cisco SDEE
  • Checkpoint LEA
  • File — log files over network shares
  • Ftp — logs into ftp servers
  • Syslog plain
  • Syslog TLS
  • Syslog CEF
  • Syslog LEEF
  • NetFlow (3,6,9)
  • SNMP(1, 2, 2с)