Поддерживаемые источники событий

KUMA поддерживает нормализацию событий, которые поступают от систем, перечисленных в таблице "Поддерживаемые источники событий". Нормализаторы для указанных систем включены в поставку.

Поддерживаемые источники событий

Название системы

Название нормализатора

Тип

Описание нормализатора

1C EventJournal

[OOTB] 1C EventJournal Normalizer

xml

Предназначен для обработки журнала событий системы 1С. Источник событий — журнал регистрации 1C.

1C TechJournal

[OOTB] 1C TechJournal Normalizer

regexp

Предназначен для обработки технологического журнала событий. Источник событий — технологический журнал 1С.

Absolute Data and Device Security (DDS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

AhnLab Malware Defense System (MDS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ahnlab UTM

[OOTB] Ahnlab UTM

regexp

Предназначен для обработки событий от системы Ahnlab. Источник событий - системные, операционные журналы, подключения, модуль IPS.

AhnLabs MDS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Apache Cassandra

[OOTB] Apache Cassandra file

regexp

Предназначен для обработки событий в журналах СУБД Apache Cassandra версии 4.0.

Aruba ClearPass

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Atlassian Conflunce

[OOTB] Atlassian Jira Conflunce file

regexp

Предназначен для обработки событий систем Atlassian Jira, Atlassian Conflunce (Jira версия 9.12, Confluence версия 8.5), хранящихся в файлах.

Atlassian Jira

[OOTB] Atlassian Jira Conflunce file

regexp

Предназначен для обработки событий систем Atlassian Jira, Atlassian Conflunce (Jira версия 9.12, Confluence версия 8.5), хранящихся в файлах.

Avanpost FAM

[OOTB] Avanpost FAM syslog

regexp

Предназначен для обработки событий системы Avanpost Federated Access Manager (FAM) версии 1.9, поступающих по syslog.

Avanpost IDM

[OOTB] Avanpost IDM syslog

regexp

Предназначен для обработки событий системы Avanpost IDM, поступающих по syslog.

Avigilon Access Control Manager (ACM)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ayehu eyeShare

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Arbor Pravail

[OOTB] Arbor Pravail syslog

Syslog

Предназначен для обработки событий системы Arbor Pravail, поступающих по syslog.

Aruba Aruba AOS-S

[OOTB] Aruba Aruba AOS-S syslog

regexp

Предназначен для обработки некоторых типов событий, поступающих от сетевых устройств Aruba с прошивкой Aruba AOS-S версии 16.10 по syslog. Нормализатор поддерживает обработку следующих типов событий: accounting events, ACL events, ARP protect events, authentication events, console events, loop protect events.

Barracuda Networks NG Firewall

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BeyondTrust Privilege Management Console

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BeyondTrust’s BeyondInsight

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Bifit Mitigator

[OOTB] Bifit Mitigator Syslog

Syslog

Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.

Bloombase StoreSafe

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BMC CorreLog

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Bricata ProAccel

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Brinqa Risk Analytics

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Advanced Threat Protection (ATP)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Endpoint Protection

[OOTB] Broadcom Symantec Endpoint Protection

regexp

Предназначен для обработки событий от системы Symantec Endpoint Protection.

Broadcom Symantec Endpoint Protection Mobile

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Threat Hunting Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Canonical LXD

[OOTB] Canonical LXD syslog

Syslog

Предназначен для обработки событий, поступающих по syslog от системы Canonical LXD версии 5.18.

Checkpoint

[OOTB] Checkpoint syslog, [OOTB] Checkpoint Syslog CEF by CheckPoint

Syslog

[OOTB] Checkpoint syslog - предназначен для обработки событий, поступающих от межсетевого экрана Checkpoint версии R81 по протоколу Syslog.

[OOTB] Checkpoint Syslog CEF by CheckPoint - предназначен для обработки событий, поступающих от межсетевого экрана Checkpoint по протоколу Syslog в формате CEF.

Cisco Access Control Server (ACS)

[OOTB] Cisco ACS syslog

regexp

Предназначен для обработки событий системы Cisco Access Control Server (ACS), поступающих по Syslog.

Cisco ASA

[OOTB] Cisco ASA and IOS syslog

Syslog

Предназначен для некоторых событий Cisco ASA и устройств под управлением Cisco IOS, поступающих по syslog.

Cisco Email Security Appliance (WSA)

[OOTB] Cisco WSA AccessFile

regexp

Предназначен для обработки журнала событий прокси-сервера Cisco Email Security Appliance (WSA), файл access.log.

Cisco Firepower Threat Defense

[OOTB] Cisco ASA and IOS syslog

Syslog

Предназначен для обработки событий для сетевых устройств Cisco ASA, Cisco IOS, Cisco Cisco Firepower Threat Defense (версия 7.2), поступающих по syslog.

Cisco Identity Services Engine (ISE)

[OOTB] Cisco ISE syslog

regexp

Предназначен для обработки событий системы Cisco Identity Services Engine (ISE), поступающих по Syslog.

Cisco IOS

[OOTB] Cisco ASA and IOS syslog

Syslog

Предназначен для некоторых событий Cisco ASA и устройств под управлением Cisco IOS, поступающих по syslog.

Cisco Netflow v5

[OOTB] NetFlow v5

netflow5

Предназначен для обработки событий, поступающих Cisco Netflow версии 5.

Cisco NetFlow v9

[OOTB] NetFlow v9

netflow9

Предназначен для обработки событий, поступающих Cisco Netflow версии 9.

Cisco Prime

[OOTB] Cisco Prime syslog

Syslog

Предназначен для обработки событий системы системы Cisco Prime версии 3.10, поступающих по syslog.

Cisco Secure Email Gateway (SEG)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Cisco Secure Firewall Management Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Cisco WLC

[OOTB] Cisco WLC syslog

 

regexp

 

Нормализатор для некоторых типов событий, поступающих от сетевых устройств Cisco WLC (2500 Series Wireless Controllers, 5500 Series Wireless Controllers, 8500 Series Wireless Controllers, Flex 7500 Series Wireless Controllers) по Syslog.

 

Cisco WSA

[OOTB] Cisco WSA file

regexp

Предназначен для обработки журнала событий прокси-сервера Cisco WSA версии 14.2.

Citrix NetScaler

[OOTB] Citrix NetScaler syslog

regexp

Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix NetScaler версии 13.7, Citrix ADC версии NS13.0.

Claroty Continuous Threat Detection

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CloudPassage Halo

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Сodemaster Mirada

[OOTB] Сodemaster Mirada syslog

Syslog

Предназначен для обработки событий системы Сodemaster Mirada, поступающих по syslog.

CollabNet Subversion Edge

[OOTB] CollabNet Subversion Edge syslog

Syslog

Предназначен для обработки событий, поступающих от системы Subversion Edge (версия 6.0.2) по syslog.

Corvil Network Analytics

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Cribl Stream

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CrowdStrike Falcon Host

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CyberArk Privileged Threat Analytics (PTA)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CyberPeak Spektr

[OOTB] CyberPeak Spektr syslog

Syslog

Предназначен для обработки событий системы CyberPeak Spektr версии 3, поступающих по syslog.

Cyberprotect Cyber Backup

[OOTB] Cyberprotect Cyber Backup SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы Кибер Бэкап (версия 16.5).

DeepInstinct

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Delinea Secret Server

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Digital Guardian Endpoint Threat Detection

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

DNS сервер BIND

[OOTB] BIND Syslog

[OOTB] BIND file

Syslog

regexp

[OOTB] BIND Syslog предназначен для обработки событий DNS-сервера BIND, поступающих по Syslog. [OOTB] BIND file предназначен для обработки журналов событий DNS-сервера BIND.

Docsvision

[OOTB] Docsvision syslog

Syslog

Предназначен для обработки событий аудита, поступающих от системы Docsvision по syslog.

Dovecot

[OOTB] Dovecot Syslog

Syslog

Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog. Источник событий — журналы POP3/IMAP.

Dragos Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

EclecticIQ Intelligence Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Edge Technologies AppBoard and enPortal

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Eltex MES

[OOTB] Eltex MES syslog

regexp

Предназначен для обработки событий, поступающих от сетевых устройств Eltex MES (поддерживаемые модели устройств: MES14xx, MES24xx, MES3708P) по syslog.

Eltex MES Switches

[OOTB] Eltex MES Switches

regexp

Предназначен для обработки событий от сетевых устройств Eltex.

Eset Protect

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Extreme Networks Summit Wireless Controller

 

[OOTB] Extreme Networks Summit Wireless Controller

 

regexp

 

Нормализатор для некоторых событий аудита устройства Extreme Networks Summit Wireless Controller (модель: WM3700, версия прошивки: 5.5.5.0-018R).

 

Factor-TS Dionis NX

[OOTB] Factor-TS Dionis NX syslog

regexp

Предназначен для обработки некоторых событий аудита, поступающих от системы Dionis NX (версия 2.0.3) по syslog.

F5 Advanced Web Application Firewall

[OOTB] F5 Advanced Web Application Firewall syslog

regexp

Предназначен для обработки событий аудита, поступающих от системы F5 Advanced Web Application Firewall по syslog.

F5 Big­IP Advanced Firewall Manager (AFM)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FFRI FFR yarai

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FireEye CM Series

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FireEye Malware Protection System

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Forcepoint NGFW

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Forcepoint SMC

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Fortinet FortiAnalyzer

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Fortinet FortiGate

[OOTB] Syslog-CEF

regexp

Предназначен для обработки событий в формате CEF.

Fortinet FortiGate

[OOTB] FortiGate syslog KV

Syslog

Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate (версия 7.0) по syslog. Источник событий - журналы FortiGate в формате key-value.

Fortinet Fortimail

[OOTB] Fortimail

regexp

Предназначен для обработки событий системы защиты электронной почты FortiMail. Источник событий — журналы почтовой системы Fortimail.

Fortinet FortiSOAR

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FreeBSD

[OOTB] FreeBSD file

regexp

Предназначен для обработки событий операционной системы FreeBSD (версия 13.1-RELEASE), хранящихся в файле.

Нормализатор поддерживает обработку файлов, полученных в результате работы утилиты praudit.

Пример:

praudit -xl /var/audit/AUDITFILE >> file_name.log

FreeIPA

[OOTB] FreeIPA

json

Предназначен для обработки событий, поступающих от системы FreeIPA. Источник событий — журналы службы каталогов Free IPA.

FreeRADIUS

[OOTB] FreeRADIUS syslog

Syslog

Предназначен для обработки событий системы FreeRADIUS, поступающих по Syslog. Нормализатор поддерживает события от FreeRADIUS версии 3.0.

Garda Monitor

[OOTB] Garda Monitor syslog

syslog

Предназначен для обработки событий системы Garda Monitor версии 3.4, поступающих по syslog.

Gardatech GardaDB

[OOTB] Gardatech GardaDB syslog

Syslog

Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, 5.4, поступающих по syslog.

Gardatech Perimeter

[OOTB] Gardatech Perimeter syslog

Syslog

Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, поступающих по syslog.

Gigamon GigaVUE

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

HAProxy

[OOTB] HAProxy syslog

Syslog

Предназначен для обработки журналов системы HAProxy. Нормализатор поддерживает события типа HTTP log, TCP log, Error log от HAProxy версии 2.8.

HashiCorp Vault

[OOTB] HashiCorp Vault json

json

Предназначен для обработки событий, поступающих от системы HashiCorp Vault версии 1.16 в формате JSON. Пакет с нормализатором доступен в KUMA 3.0 и выше.

Huawei Eudemon

[OOTB] Huawei Eudemon

regexp

Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon. Источник событий — журналы межсетевых экранов Huawei Eudemon.

Huawei iManager 2000

[OOTB] Huawei iManager 2000 file

 

regexp

 

Нормализатор, поддерживающий обработку части событий системы Huawei iManager 2000, хранящихся в файлах \client\logs\rpc, \client\logs\deploy\ossDeployment.

 

Huawei USG

[OOTB] Huawei USG Basic

Syslog

Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog.

Huawei VRP

[OOTB] Huawei VRP syslog

regexp

Предназначен для обработки некоторых типов событий системы Huawei VRP, поступающих по syslog. Нормализатор осуществляет выборку части данных из событий. Нормализатор доступен в KUMA 3.0 и выше.

IBM InfoSphere Guardium

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ideco UTM

[OOTB] Ideco UTM Syslog

Syslog

Предназначен для обработки событий, поступающих от Ideco UTM по Syslog. Нормализатор поддерживает обработку событий Ideco UTM версии 14.7, 14.10.

Illumio Policy Compute Engine (PCE)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Imperva Incapsula

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Imperva SecureSphere

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Indeed Access Manager

[OOTB] Indeed Access Manager syslog

Syslog

Предназначен для обработки событий, поступающих от системы Indeed Access Manager по syslog.

Indeed PAM

[OOTB] Indeed PAM syslog

Syslog

Предназначен для обработки событий Indeed PAM (Privileged Access Manager) версии 2.6.

Indeed SSO

[OOTB] Indeed SSO xml

xml

Предназначен для обработки событий системы Indeed SSO (Single Sign-On). Нормализатор поддерживает работу с KUMA 2.1.3 и выше.

InfoWatch Traffic Monitor

[OOTB] InfoWatch Traffic Monitor SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor.

Intralinks VIA

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

IPFIX

[OOTB] IPFIX

ipfix

Предназначен для обработки событий в формате IP Flow Information Export (IPFIX).

Juniper JUNOS

[OOTB] Juniper - JUNOS

regexp

Предназначен для обработки событий аудита, поступающих от сетевых устройств Juniper.

Kaspersky Anti Targeted Attack (KATA)

[OOTB] KATA

cef

Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack.

Kaspersky CyberTrace

[OOTB] CyberTrace

regexp

Предназначен для обработки событий Kaspersky CyberTrace.

Kaspersky Endpoint Detection and Response (KEDR)

[OOTB] KEDR telemetry

json

Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA. Источник событий — kafka, EnrichedEventTopic

Kaspersky Industrial CyberSecurity for Networks

[OOTB] KICS4Net v2.x

cef

Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 2.х.

Kaspersky Industrial CyberSecurity for Networks

[OOTB] KICS4Net v3.x

Syslog

Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 3.х.

Kaspersky KISG

[OOTB] Kaspersky KISG syslog

Syslog

Предназначен для обработки событий, поступающих от системы Kaspersky IoT Secure Gateway (KISG) версии 3.0 по syslog.

Kaspersky Security Center

[OOTB] KSC

cef

Предназначен для обработки событий Kaspersky Security Center по Syslog.

Kaspersky Security Center

[OOTB] KSC from SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center.

Kaspersky Security for Linux Mail Server (KLMS)

[OOTB] KLMS Syslog CEF

Syslog

Предназначен для обработки событий, поступающих от Kaspersky Security for Linux Mail Server в формате CEF по Syslog.

Kaspersky Security for MS Exchange SQL

 

[OOTB] Kaspersky Security for MS Exchange SQL

 

sql

 

Нормализатор для событий системы Kaspersky Security for Exchange (KSE) версия 9.0, хранящихся в БД.

 

Kaspersky Secure Mail Gateway (KSMG)

[OOTB] KSMG Syslog CEF

Syslog

Предназначен для обработки событий Kaspersky Secure Mail Gateway версии 2.0 в формате CEF по Syslog.

Kaspersky Web Traffic Security (KWTS)

[OOTB] KWTS Syslog CEF

Syslog

Предназначен для обработки событий, поступающих от Kaspersky Web Traffic Security в формате CEF по Syslog.

Kaspersky Web Traffic Security (KWTS)

[OOTB] KWTS (KV)

Syslog

Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value.

Kemptechnologies LoadMaster

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Kerio Control

[OOTB] Kerio Control

Syslog

Предназначен для обработки событий межсетевых экранов Kerio Control.

KUMA

[OOTB] KUMA forwarding

json

Предназначен для обработки событий, перенаправленных из KUMA.

Libvirt

[OOTB] Libvirt syslog

Syslog

Предназначен для обработки событий Libvirt версии 8.0.0, поступающих по syslog.

Lieberman Software ERPM

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Linux

[OOTB] Linux audit and iptables Syslog

Syslog

Предназначен для обработки событий операционной системы Linux. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1.

Linux

[OOTB] Linux audit and iptables Syslog v1

Syslog

Предназначен для обработки событий операционной системы Linux. Нормализатор не поддерживает обработку событий в формате "ENRICHED".

Linux

[OOTB] Linux audit.log file

regexp

Предназначен для обработки журналов безопасности операционных систем семейства Linux, поступающих по Syslog.

MariaDB

[OOTB] MariaDB Audit Plugin Syslog

Syslog

Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.

Microsoft Active Directory Federation Service (AD FS)

[OOTB] Microsoft Products for KUMA 3

xml

Предназначен для обработки событий Microsoft AD FS. Нормализатор [OOTB] Microsoft Products for KUMA 3 поддерживает работу с данным источником событий в KUMA 3.0.1 и выше.

Microsoft Active Directory Domain Service (AD DS)

[OOTB] Microsoft Products for KUMA 3

xml

Предназначен для обработки событий Microsoft AD DS. Нормализатор [OOTB] Microsoft Products for KUMA 3 поддерживает работу с данным источником событий в KUMA 3.0.1 и выше.

Microsoft Defender

[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3

xml

Предназначен для обработки событий системы Microsoft Defender.

Microsoft DHCP

[OOTB] MS DHCP file

regexp

Предназначен для обработки событий от DHCP-сервера Microsoft. Источник событий — журналы DHCP сервера Windows.

Microsoft DNS

[OOTB] DNS Windows

regexp

Предназначен для обработки событий DNS сервера Microsoft. Источник событий — журналы DNS сервера Windows.

Microsoft Exchange

[OOTB] Exchange CSV

csv

Предназначен для обработки журнала событий системы Microsoft Exchange. Источник событий — журналы MTA сервера Exchange.

Microsoft Hyper-V

[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3

xml

Предназначен для обработки событий операционной системы Microsoft Windows.

Источник событий — журналы Microsoft Hyper-V: Microsoft-Windows-Hyper-V-VMMS-Admin, Microsoft-Windows-Hyper-V-Compute-Operational, Microsoft-Windows-Hyper-V-Hypervisor-Operational, Microsoft-Windows-Hyper-V-StorageVSP-Admin, Microsoft-Windows-Hyper-V-Hypervisor-Admin, Microsoft-Windows-Hyper-V-VMMS-Operational, Microsoft-Windows-Hyper-V-Compute-Admin.

Microsoft IIS

[OOTB] IIS Log File Format

regexp

Нормализатор обрабатывает события в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging. Источник событий — журналы Microsoft IIS.

Microsoft Network Policy Server (NPS)

[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — события Network Policy Server.

Microsoft Office365

[OOTB] Microsoft Office 365 - basic *

json

* Нормализатор предоставляется по запросу. Предназначен для обработки событий Microsoft Office365.

Microsoft SCCM

[OOTB] Microsoft SCCM file

regexp

Предназначен для обработки событий системы Microsoft SCCM версии 2309. Нормализатор поддерживает обработку части событий, хранящихся в файле AdminService.log.

Microsoft SharePoint Server

[OOTB] Microsoft SharePoint Server diagnostic log file

regexp

Нормализатор поддерживает обработку части событий системы Microsoft SharePoint Server (версия SharePoint Server 2016), хранящихся в диагностических журналах.

Microsoft Sysmon

[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3

xml

Нормализатор предназначен для обработки событий модуля Microsoft Sysmon.

Microsoft Windows 7, 8.1, 10, 11

[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN

 

xml

Предназначен для обработки части событий из журналов Security, System, Application операционной системы Microsoft Windows. Нормализатор "[OOTB] Microsoft Products via KES WIN" поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA от Kaspersky Endpoint Security для Windows 12.6 по Syslog.

 

Microsoft PowerShell

[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN

xml

Предназначен для обработки событий журналов PowerShell операционной системы Microsoft Windows. Нормализатор "[OOTB] Microsoft Products via KES WIN" поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA от Kaspersky Endpoint Security для Windows 12.6 по Syslog.

Microsoft SQL Server

[Deprecated][OOTB] Microsoft SQL Server xml

xml

Предназначен для обработки событий MS SQL Server версии 2008, 2012, 2014, 2016. Нормализатор поддерживает работу с KUMA 2.1.3 и выше.

Microsoft Windows Remote Desktop Services

[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN

xml

Предназначен для обработки событий операционной системы Microsoft Windows. Источник событий - журнал Applications and Services Logs - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational. Нормализатор "[OOTB] Microsoft Products via KES WIN" поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA от Kaspersky Endpoint Security для Windows 12.6 по Syslog.

 

Microsoft Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022

[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN

xml

Предназначен для обработки части событий из журналов Security, System операционной системы Microsoft Windows Server. Нормализатор "[OOTB] Microsoft Products via KES WIN" поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA от Kaspersky Endpoint Security для Windows 12.6 по Syslog.

Microsoft Windows XP/2003

[OOTB] SNMP. Windows {XP/2003}

json

Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP.

Microsoft WSUS

[OOTB] Microsoft WSUS file

regexp

Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, 5.4, поступающих по syslog.

MikroTik

[OOTB] MikroTik syslog

regexp

Предназначен для событий, поступающих от устройств MikroTik по Syslog.

Minerva Labs Minerva EDR

[OOTB] Minerva EDR

regexp

Предназначен для обработки событий от EDR системы Minerva.

Multifactor Radius Server for Windows

[OOTB] Multifactor Radius Server for Windows syslog

Syslog

Предназначен для обработки событий, поступающих от системы Multifactor Radius Server версии 1.0.2 для Microsoft Windows по протоколу Syslog.

MySQL 5.7

[OOTB] MariaDB Audit Plugin Syslog

Syslog

Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.

NetApp ONTAP (AFF, FAM)

[OOTB] NetApp syslog, [OOTB] NetApp file

regexp

[OOTB] NetApp syslog - предназначен для обработки событий системы NetApp (версия - ONTAP 9.12), поступающих по syslog.

[OOTB] NetApp file - предназначен для обработки событий системы NetApp (версия - ONTAP 9.12), хранящихся в файле.

NetIQ Identity Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

NetScout Systems nGenius Performance Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Netskope Cloud Access Security Broker

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Netwrix Auditor

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Nextcloud

[OOTB] Nextcloud syslog

Syslog

Предназначен для событий Nextcloud версии 26.0.4, поступающих по syslog. Нормализатор не сохраняет информацию из поля Trace.

Nexthink Engine

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Nginx

[OOTB] Nginx regexp

regexp

Предназначен для обработки событий журнала веб-сервера Nginx.

NIKSUN NetDetector

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

One Identity Privileged Session Management

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Open VPN

[OOTB] OpenVPN file

regexp

Предназначен для обработки журнала системы OpenVPN.

Oracle

[OOTB] Oracle Audit Trail

sql

Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle.

Orion soft zVirt

[OOTB] Orion Soft zVirt syslog

regexp

Предназначен для обработки событий системы виртуализации Orion soft zVirt версии 3.1.  

PagerDuty

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Palo Alto Cortex Data Lake

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Palo Alto Networks NGFW

[OOTB] PA-NGFW (Syslog-CSV)

Syslog

Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog в формате CSV.

Palo Alto Networks PAN­OS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Passwork

[OOTB] Passwork syslog

Syslog

Предназначен для обработки событий, поступающих от системы Passwork версии 050219 по syslog.

Penta Security WAPPLES

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Positive Technologies ISIM

[OOTB] PTsecurity ISIM

regexp

Предназначен для обработки событий от системы PT Industrial Security Incident Manager.

Positive Technologies Network Attack Discovery (NAD)

[OOTB] PTsecurity NAD

Syslog

Предназначен для обработки событий от PT Network Attack Discovery (NAD), поступающих по Syslog.

Positive Technologies Sandbox

[OOTB] PTsecurity Sandbox

regexp

Предназначен для обработки событий системы PT Sandbox.

Positive Technologies Web Application Firewall

[OOTB] PTsecurity WAF

Syslog

Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall).

PostgreSQL pgAudit

[OOTB] PostgreSQL pgAudit Syslog

Syslog

Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog.

PowerDNS

[OOTB] PowerDNS syslog

Syslog

Предназначен для обработки событий PowerDNS Authoritative Server версии 4.5, поступающих по Syslog.

Proofpoint Insider Threat Management

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Proxmox

[OOTB] Proxmox file

regexp

Предназначен для событий системы Proxmox версии 7.2-3, хранящихся в файле. Нормализатор поддерживает обработку событий в журналах access и pveam.

PT NAD

[OOTB] PT NAD json

json

Предназначен для обработки событий, поступающий от PT NAD в формате json. Нормализатор поддерживает обработку событий PT NAD версий 11.1, 11.0.

QEMU - журналы гипервизора

[OOTB] QEMU - Hypervisor file

regexp

Предназначен для обработки событий гипервизора QEMU, хранящихся в файле. Поддерживаются версии QEMU 6.2.0, Libvirt 8.0.0.

QEMU - журналы виртуальных машин

[OOTB] QEMU - Virtual Machine file

regexp

Предназначен для обработки событий из журналов виртуальных машин гипервизора QEMU версии 6.2.0, хранящихся в файле.

Radware DefensePro AntiDDoS

[OOTB] Radware DefensePro AntiDDoS

Syslog

Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.

Reak Soft Blitz Identity Provider

[OOTB] Reak Soft Blitz Identity Provider file

regexp

Предназначен для обработки событий системы Reak Soft Blitz Identity Provider версии 5.16, хранящихся в файле.

RedCheck Desktop

[OOTB] RedCheck Desktop file

regexp

Предназначен для обработки журналов системы RedCheck Desktop версии 2.6, хранящихся в файле.

RedCheck WEB

[OOTB] RedCheck WEB file

regexp

Предназначен для обработки журналов системы RedCheck WEB версии 2.6, хранящихся в файлах.

RED SOFT RED ADM

[OOTB] RED SOFT RED ADM syslog

regexp

Предназначен для обработки событий, поступающих от системы RED ADM (версия РЕД АДМ: Промышленная редакция 1.1) по syslog.

Нормализатор поддерживает обработку событий:

- подсистемы управления;

- контроллера.

ReversingLabs N1000 Appliance

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Rubicon Communications pfSense

[OOTB] pfSense Syslog

Syslog

Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, поступающих по Syslog.

Rubicon Communications pfSense

[OOTB] pfSense w/o hostname

Syslog

Предназначен для обработки событий, поступающих от межсетевого экрана pfSense. Syslog-заголовок этих событий не содержит имени хоста.

SailPoint IdentityIQ

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

SecurityCode Continent 4

[OOTB] SecurityCode Continent 4 syslog

regexp

Предназначен для обработки событий системы SecurityCode Continent версии 4, поступающих по syslog.

Sendmail

[OOTB] Sendmail syslog

Syslog

Предназначен для обработки событий Sendmail версии 8.15.2, поступающих по syslog.

SentinelOne

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Snort

[OOTB] Snort 3 json file

json

Предназначен для обработки cобытий Snort версии 3 в формате JSON.

Sonicwall TZ

[OOTB] Sonicwall TZ Firewall

Syslog

Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана Sonicwall TZ.

SolarWinds DameWare MRC

 

[OOTB] SolarWinds DameWare MRC xml

 

xml

 

Нормализатор, поддерживающий обработку части событий системы DameWare Mini Remote Control (MRC) версия 7.5, хранящихся в журнале Application операционной системы Windows. Нормализатор обрабатывает события, создаваемые провайдером "dwmrcs".

 

Sophos Firewall

[OOTB] Sophos Firewall syslog

regexp

Предназначен для обработки событий, поступающих от Sophos Firewall версии 20 по syslog.

Sophos XG

[OOTB] Sophos XG

regexp

Предназначен для обработки событий от межсетевого экрана Sophos XG.

Squid

[OOTB] Squid access Syslog

Syslog

Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog.

Squid

[OOTB] Squid access.log file

regexp

Предназначен для обработки событий журнала Squid прокси-сервера Squid. Источник событий — журналы access.log

S-Terra VPN Gate

[OOTB] S-Terra

Syslog

Предназначен для обработки событий от устройств S-Terra VPN Gate.

Suricata

[OOTB] Suricata json file

json

Пакет содержит нормализатор для событий Suricata версии 7.0.1, хранящихся в файле в формате JSON.

Нормализатор поддерживает обработку следующих типов событий: flow, anomaly, alert, dns, http, ssl, tls, ftp, ftp_data, ftp, smb, rdp, pgsql, modbus, quic, dhcp, bittorrent_dht, rfb.

ThreatConnect Threat Intelligence Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

ThreatQuotient

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Tionix Cloud Platform

[OOTB] Tionix Cloud Platform syslog

Syslog

Предназначен для обработки событий системы Tionix Cloud Platform версии 2.9, поступающих по syslog. Нормализатор осуществляет выборку части данных из событий. Нормализатор доступен в KUMA 3.0 и выше.

Tionix VDI

 

[OOTB] Tionix VDI file

 

regexp

 

Нормализатор, поддерживающий обработку части событий системы Tionix VDI (версия 2.8), хранящихся в файле tionix_lntmov.log.

 

TrapX DeceptionGrid

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro Control Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro Deep Security

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro NGFW

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trustwave Application Security DbProtect

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Unbound

[OOTB] Unbound Syslog

Syslog

Предназначен для обработки событий, поступающих по Syslog от DNS-сервера Unbound.

UserGate

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы UserGate по Syslog.

Varonis DatAdvantage

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Veriato 360

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

ViPNet TIAS

[OOTB] Vipnet TIAS syslog

Syslog

Предназначен для обработки событий системы ViPNet TIAS версии 3.8, поступающих по Syslog.

VMware ESXi

[OOTB] VMware ESXi syslog

regexp

Предназначен для обработки событий VMware ESXi (поддержка ограниченного количества событий от ESXi с версиями 5.5, 6.0, 6.5, 7.0), поступающих по Syslog.

VMWare Horizon

[OOTB] VMWare Horizon - Syslog

Syslog

Предназначен для обработки событий, поступающих от системы VMWare Horizon версии 2106 по Syslog.

VMwareCarbon Black EDR

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Vormetric Data Security Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Votiro Disarmer for Windows

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Wallix AdminBastion

[OOTB] Wallix AdminBastion syslog

regexp

Предназначен для событий, поступающих от системы Wallix AdminBastion по Syslog.

WatchGuard - Firebox

[OOTB] WatchGuard Firebox

Syslog

Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog.

Webroot BrightCloud

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Winchill Fracas

[OOTB] PTC Winchill Fracas

regexp

Предназначен для обработки событий системы регистрации сбоев Winchill Fracas.

Yandex Browser корпоративный

[OOTB] Yandex Browser

json

Предназначен для обработки событий, поступающих от корпоративной версии Яндекс Браузера версии 23.

Zabbix

[OOTB] Zabbix SQL

sql

Предназначен для обработки событий Zabbix версии 6.4.

Zecurion DLP

[OOTB] Zecurion DLP syslog

regexp

Предназначен для обработки событий системы Zecurion DLP версии 12.0, поступающих по syslog.

ZEEK IDS

[OOTB] ZEEK IDS json file

json

Предназначен для обработки журналов системы ZEEK IDS в формате JSON. Нормализатор поддерживает события от ZEEK IDS версии 1.8.

Zettaset BDEncrypt

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Zscaler Nanolog Streaming Service (NSS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

АйТи Бастион – СКДПУ

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы АйТи Бастион - СКДПУ по Syslog.

А-реал Интернет Контроль Сервер (ИКС)

[OOTB] A-real IKS syslog

regexp

Предназначен для обработки событий системы А-реал Интернет Контроль Сервер (ИКС), поступающих по Syslog. Нормализатор поддерживает события от A-real IKS версии 7.0 и выше.

Веб-сервер Apache

[OOTB] Apache HTTP Server file

regexp

Предназначен для обработки событий Apache HTTP Server версии 2.4, хранящихся в файле. Нормализатор поддерживает обработку событий журнала Application в форматах Common или Combined Log, и журнала Error.

Ожидаемый формат журнала Error:

"[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i"

Веб-сервер Apache

[OOTB] Apache HTTP Server syslog

Syslog

Предназначен для обработки событий системы Apache HTTP Server, поступающих по syslog. Нормализатор поддерживает обработку событий Apache HTTP Server версии 2.4 журнала Access в формате Common или Combined Log, и журнала Error.

Ожидаемый формат событий журнала Error:

"[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i"

Веб-сервер Lighttpd

[OOTB] Lighttpd syslog

Syslog

Предназначен для обработки событий Access системы Lighttpd, поступающих по syslog. Нормализатор поддерживает обработку событий Lighttpd версии 1.4.

Ожидаемый формат событий журнала Access:

$remote_addr $http_request_host_name $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"

ИВК Кольчуга-К

[OOTB] Kolchuga-K Syslog

Syslog

Предназначен для обработки событий, поступающих от системы ИВК Кольчуга-К, версии ЛКНВ.466217.002 по Syslog.

ИнфоТеКС ViPNet IDS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы ИнфоТеКС ViPNet IDS по Syslog.

ИнфоТеКС ViPNet Coordinator

[OOTB] VipNet Coordinator Syslog

Syslog

Предназначен для обработки событий от системы ViPNet Coordinator, поступающих по Syslog.

Код безопасности - Континент

[OOTB][regexp] Continent IPS/IDS & TLS

regexp

Предназначен для обработки журнала событий устройств Континент IPS/IDS.

Код безопасности - Континент

[OOTB] Continent SQL

sql

Предназначен для получения событий системы Континент из базы данных.

Код Безопасности SecretNet 7

[OOTB] SecretNet SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet.

Конфидент - Dallas Lock

[OOTB] Конфидент Dallas Lock

regexp

Предназначен для обработки событий, поступающих от системы защиты информации Dallas Lock версии 8.

КриптПро Ngate

[OOTB] Ngate Syslog

Syslog

Предназначен для обработки событий, поступающих от системы КриптПро Ngate по Syslog.

Маршрутизаторы H3C (Huawei-3Com)

 

[OOTB] H3C Routers syslog

 

regexp

 

Нормализатор для некоторых типов событий, поступающих от сетевых устройств H3C (Huawei-3Com) SR6600 (прошивка Comware 7) по Syslog. Нормализатор поддерживает формат событий "standard" (RFC 3164-compliant format).

 

НТ Мониторинг и аналитика

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы НТ Мониторинг и аналитика по Syslog.

Прокси-сервер BlueCoat

[OOTB] BlueCoat Proxy v0.2

regexp

Предназначен для обработки событий прокси-сервера BlueCoat. Источник событий — журнал событий прокси-сервера BlueCoat.

СКДПУ НТ Шлюз доступа

[OOTB] Bastion SKDPU-GW 

Syslog

Предназначен для обработки событий системы СКДПУ НТ Шлюз доступа, поступающих по Syslog.

Солар Дозор

[OOTB] Solar Dozor Syslog

Syslog

Предназначен для обработки событий, поступающийх от системы Солар Дозор версии 7.9 по Syslog. Нормализатор поддерживает обработку событий в пользовательском формате и не поддерживает обработку событий в формате CEF.

-

[OOTB] Syslog header

Syslog

Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами.

В начало