13

Источники и парсеры

Что значит "поддерживаемые"?

Концепция нормализации предполагает поиск по всем событиям. Нормализация это процесс извлечения из событий ключей и их значений.
Это необходимо для успешного поиска по событиям, продвинутых механизмов обнаружения, таких как AI и DL.

Почему важна нормализация?

“Найти все события по пользователю admin_west”. Специфика SIEM заключается в том, что к системе подключены сотни различных типов источников. Где-то в событиях появляется user_name, где то username, где в общем случае необходимое поле содержится в текстовом блобе. В результате, без нормализации событий, запрос к базе данных будет слишком длинным и тяжелым, или вы получите только часть событий.

Список основных поддерживаемых источников

  • MS Windows 2000
  • MS Windows 2003
  • MS Windows XP
  • MS Windows 7/8/2008
  • MS Windows 2012
  • MS Exchange 2007/2010/2013 (Txt logs + MS Exchange Management event log + RCA Client logs)
  • MS IIS (w3c)
  • MS DHCP Server
  • MS SCCM (через MS SQL БД)
  • Group-ib Bot-Trek TDS (cef, json)
  • PaloAlto (CEF, LEEF)
  • vGate
  • Linux/Unix/BSD/Suse syslog
  • Mac OS over syslog
  • Squid
  • Apache web server over syslog
  • Nginx over syslog
  • Vsftpd over syslog
  • Mysql over syslog
  • Dovecot over syslog
  • Postfix over syslog
  • Bluecoat
  • Suricata (syslog+CEF)
  • SNORT (syslog)
  • Bro-ids
  • Checkpoint
  • Cisco ASA любые
  • Cisco PIX любые
  • Cisco catalyst
  • Cisco FW любые
  • Cisco WLC
  • Cisco WSA
  • Cisco IPS
  • Cisco Email Security Appliance (ironport)
  • Cisco ASA Firepower
  • TrendMicro Control Manager (CEF syslog)
  • TrendMicro Proxy IWSVA (syslog)
  • Kaspersky
  • Symantec (over MS SQL)
  • СКУД Сфинкс
  • СКУД Интеллект
  • СКУД RusGuard
  • Stonegate Stonesoft
  • VmWare Esx 5.1, 5.5
  • Safeinspect (syslog plain/CEF)
  • SecretNet
  • Fortine tFortigate
  • Fortinet Fortianalyzer (syslog)
  • 1С 8.2
  • AlgosecFW Analyzer
  • CEF syslog — any sources
  • Syslog (tcp/udp) — any sourced
  • Syslog TLS
  • SDEE (http/https)
  • EtherStat Microolap Technologies
  • InfoTecs IDS
  • Код безопасности
  • Infowatch Traffic Monitor
  • Forcepoint Firewall 6x (LEEF).
  • RNT Forpost monitoring
  • McAfee Web Gateway (syslog)
  • McAfee Email Gateway (syslog, CEF, splunk)
  • McAfee Firewall (LEEF)
  • McAfee IPS (LEEF, CEF)
  • McAfee GTI (global threat exchange) parser splunk format
  • DallasLock
  • gitolite over syslog
  • postfix over syslog
  • dovecot over syslog
  • fail2ban over syslog

Список поддерживаемых транспортов

  • Microsoft Windows standard event logs (System/Applications/Security)
  • Microsoft Windows custom event logs
  • Microsoft Windows applications event logs
  • Microsoft Windows softwares list
  • Microsoft Windows patches list
  • Microsoft Windows WMI command (get answer to events)
  • Hasher for Windows (get processes, its hashes to events)
  • ms evt and wmi transport
  • Microsoft SQL (tables, views) — any logs
  • Oracle — any logs, Oracle Audit trail
  • MySQL (tables, views)
  • Cisco SDEE
  • Checkpoint LEA
  • File — log files over network shares
  • Ftp — logs into ftp servers
  • Syslog plain
  • Syslog TLS
  • Syslog CEF
  • Syslog LEEF

Это не полный список. Возникли вопросы? Свяжитесь с нами!

Что делать, если в списке нет источника?

Мы постоянно расширяем список поддерживаемых источников. Приоритеты зависят от наших клиентов. Нет проблем и трудностей для добавления новых источников и парсеров.

Если в списке нет источника, свяжитесь с нами, мы поможем вам.