KUMA поддерживает нормализацию событий, которые поступают от систем, перечисленных в таблице "Поддерживаемые источники событий". Нормализаторы для указанных систем включены в поставку.
Поддерживаемые источники событий
Название системы |
Название нормализатора |
Тип |
Описание нормализатора |
|---|---|---|---|
1C EventJournal |
[OOTB] 1C EventJournal Normalizer |
xml |
Предназначен для обработки журнала событий системы 1С. Источник событий — журнал регистрации 1C. |
1C TechJournal |
[OOTB] 1C TechJournal Normalizer |
regexp |
Предназначен для обработки технологического журнала событий. Источник событий — технологический журнал 1С. |
Absolute Data and Device Security (DDS) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
AhnLab Malware Defense System (MDS) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Ahnlab UTM |
[OOTB] Ahnlab UTM |
regexp |
Предназначен для обработки событий от системы Ahnlab. Источник событий - системные, операционные журналы, подключения, модуль IPS. |
AhnLabs MDS |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Apache Cassandra |
[OOTB] Apache Cassandra file |
regexp |
Предназначен для обработки событий в журналах СУБД Apache Cassandra версии 4.0. |
Aruba ClearPass |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Atlassian Conflunce |
[OOTB] Atlassian Jira Conflunce file |
regexp |
Предназначен для обработки событий систем Atlassian Jira, Atlassian Conflunce (Jira версия 9.12, Confluence версия 8.5), хранящихся в файлах. |
Atlassian Jira |
[OOTB] Atlassian Jira Conflunce file |
regexp |
Предназначен для обработки событий систем Atlassian Jira, Atlassian Conflunce (Jira версия 9.12, Confluence версия 8.5), хранящихся в файлах. |
Avigilon Access Control Manager (ACM) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Ayehu eyeShare |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Barracuda Networks NG Firewall |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
BeyondTrust Privilege Management Console |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
BeyondTrust’s BeyondInsight |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Bifit Mitigator |
[OOTB] Bifit Mitigator Syslog |
Syslog |
Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog. |
Bloombase StoreSafe |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
BMC CorreLog |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Bricata ProAccel |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Brinqa Risk Analytics |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Broadcom Symantec Advanced Threat Protection (ATP) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Broadcom Symantec Endpoint Protection |
[OOTB] Broadcom Symantec Endpoint Protection |
regexp |
Предназначен для обработки событий от системы Symantec Endpoint Protection. |
Broadcom Symantec Endpoint Protection Mobile |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Broadcom Symantec Threat Hunting Center |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Canonical LXD |
[OOTB] Canonical LXD syslog |
Syslog |
Предназначен для обработки событий, поступающих по syslog от системы Canonical LXD версии 5.18. |
Checkpoint |
[OOTB] Checkpoint syslog, [OOTB] Checkpoint Syslog CEF by CheckPoint |
Syslog |
[OOTB] Checkpoint syslog - предназначен для обработки событий, поступающих от межсетевого экрана Checkpoint версии R81 по протоколу Syslog. [OOTB] Checkpoint Syslog CEF by CheckPoint - предназначен для обработки событий, поступающих от межсетевого экрана Checkpoint по протоколу Syslog в формате CEF. |
Cisco Access Control Server (ACS) |
[OOTB] Cisco ACS syslog |
regexp |
Предназначен для обработки событий системы Cisco Access Control Server (ACS), поступающих по Syslog. |
Cisco ASA |
[OOTB] Cisco ASA and IOS syslog |
Syslog |
Предназначен для некоторых событий Cisco ASA и устройств под управлением Cisco IOS, поступающих по syslog. |
Cisco Email Security Appliance (WSA) |
[OOTB] Cisco WSA AccessFile |
regexp |
Предназначен для обработки журнала событий прокси-сервера Cisco Email Security Appliance (WSA), файл access.log. |
Cisco Firepower Threat Defense |
[OOTB] Cisco ASA and IOS syslog |
Syslog |
Предназначен для обработки событий для сетевых устройств Cisco ASA, Cisco IOS, Cisco Cisco Firepower Threat Defense (версия 7.2), поступающих по syslog. |
Cisco Identity Services Engine (ISE) |
[OOTB] Cisco ISE syslog |
regexp |
Предназначен для обработки событий системы Cisco Identity Services Engine (ISE), поступающих по Syslog. |
Cisco IOS |
[OOTB] Cisco ASA and IOS syslog |
Syslog |
Предназначен для некоторых событий Cisco ASA и устройств под управлением Cisco IOS, поступающих по syslog. |
Cisco Netflow v5 |
[OOTB] NetFlow v5 |
netflow5 |
Предназначен для обработки событий, поступающих Cisco Netflow версии 5. |
Cisco NetFlow v9 |
[OOTB] NetFlow v9 |
netflow9 |
Предназначен для обработки событий, поступающих Cisco Netflow версии 9. |
Cisco Prime |
[OOTB] Cisco Prime syslog |
Syslog |
Предназначен для обработки событий системы системы Cisco Prime версии 3.10, поступающих по syslog. |
Cisco Secure Email Gateway (SEG) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Cisco Secure Firewall Management Center |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Cisco WSA |
[OOTB] Cisco WSA file |
regexp |
Предназначен для обработки журнала событий прокси-сервера Cisco WSA версии 14.2. |
Citrix NetScaler |
[OOTB] Citrix NetScaler syslog |
regexp |
Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix NetScaler версии 13.7, Citrix ADC версии NS13.0. |
Claroty Continuous Threat Detection |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
CloudPassage Halo |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Сodemaster Mirada |
[OOTB] Сodemaster Mirada syslog |
Syslog |
Предназначен для обработки событий системы Сodemaster Mirada, поступающих по syslog. |
CollabNet Subversion Edge |
[OOTB] CollabNet Subversion Edge syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы Subversion Edge (версия 6.0.2) по syslog. |
Corvil Network Analytics |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Cribl Stream |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
CrowdStrike Falcon Host |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
CyberArk Privileged Threat Analytics (PTA) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
CyberPeak Spektr |
[OOTB] CyberPeak Spektr syslog |
Syslog |
Предназначен для обработки событий системы CyberPeak Spektr версии 3, поступающих по syslog. |
Cyberprotect Cyber Backup |
[OOTB] Cyberprotect Cyber Backup SQL |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы Кибер Бэкап (версия 16.5). |
DeepInstinct |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Delinea Secret Server |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Digital Guardian Endpoint Threat Detection |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
DNS сервер BIND |
[OOTB] BIND Syslog [OOTB] BIND file |
Syslog regexp |
[OOTB] BIND Syslog предназначен для обработки событий DNS-сервера BIND, поступающих по Syslog. [OOTB] BIND file предназначен для обработки журналов событий DNS-сервера BIND. |
Docsvision |
[OOTB] Docsvision syslog |
Syslog |
Предназначен для обработки событий аудита, поступающих от системы Docsvision по syslog. |
Dovecot |
[OOTB] Dovecot Syslog |
Syslog |
Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog. Источник событий — журналы POP3/IMAP. |
Dragos Platform |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
EclecticIQ Intelligence Center |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Edge Technologies AppBoard and enPortal |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Eltex MES |
[OOTB] Eltex MES syslog |
regexp |
Предназначен для обработки событий, поступающих от сетевых устройств Eltex MES (поддерживаемые модели устройств: MES14xx, MES24xx, MES3708P) по syslog. |
Eltex MES Switches |
[OOTB] Eltex MES Switches |
regexp |
Предназначен для обработки событий от сетевых устройств Eltex. |
Eset Protect |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Factor-TS Dionis NX |
[OOTB] Factor-TS Dionis NX syslog |
regexp |
Предназначен для обработки некоторых событий аудита, поступающих от системы Dionis NX (версия 2.0.3) по syslog. |
F5 Advanced Web Application Firewall |
[OOTB] F5 Advanced Web Application Firewall syslog |
regexp |
Предназначен для обработки событий аудита, поступающих от системы F5 Advanced Web Application Firewall по syslog. |
F5 BigIP Advanced Firewall Manager (AFM) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
FFRI FFR yarai |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
FireEye CM Series |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
FireEye Malware Protection System |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Forcepoint NGFW |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Forcepoint SMC |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Fortinet FortiAnalyzer |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Fortinet FortiGate |
[OOTB] Syslog-CEF |
regexp |
Предназначен для обработки событий в формате CEF. |
Fortinet FortiGate |
[OOTB] FortiGate syslog KV |
Syslog |
Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate (версия 7.0) по syslog. Источник событий - журналы FortiGate в формате key-value. |
Fortinet Fortimail |
[OOTB] Fortimail |
regexp |
Предназначен для обработки событий системы защиты электронной почты FortiMail. Источник событий — журналы почтовой системы Fortimail. |
Fortinet FortiSOAR |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
FreeBSD |
[OOTB] FreeBSD file |
regexp |
Предназначен для обработки событий операционной системы FreeBSD (версия 13.1-RELEASE), хранящихся в файле. Нормализатор поддерживает обработку файлов, полученных в результате работы утилиты praudit. Пример: praudit -xl /var/audit/AUDITFILE >> file_name.log |
FreeIPA |
[OOTB] FreeIPA |
json |
Предназначен для обработки событий, поступающих от системы FreeIPA. Источник событий — журналы службы каталогов Free IPA. |
FreeRADIUS |
[OOTB] FreeRADIUS syslog |
Syslog |
Предназначен для обработки событий системы FreeRADIUS, поступающих по Syslog. Нормализатор поддерживает события от FreeRADIUS версии 3.0. |
Gardatech GardaDB |
[OOTB] Gardatech GardaDB syslog |
Syslog |
Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, 5.4, поступающих по syslog. |
Gardatech Perimeter |
[OOTB] Gardatech Perimeter syslog |
Syslog |
Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, поступающих по syslog. |
Gigamon GigaVUE |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
HAProxy |
[OOTB] HAProxy syslog |
Syslog |
Предназначен для обработки журналов системы HAProxy. Нормализатор поддерживает события типа HTTP log, TCP log, Error log от HAProxy версии 2.8. |
HashiCorp Vault |
[OOTB] HashiCorp Vault json |
json |
Предназначен для обработки событий, поступающих от системы HashiCorp Vault версии 1.16 в формате JSON. Пакет с нормализатором доступен в KUMA 3.0 и более новых версиях. |
Huawei Eudemon |
[OOTB] Huawei Eudemon |
regexp |
Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon. Источник событий — журналы межсетевых экранов Huawei Eudemon. |
Huawei USG |
[OOTB] Huawei USG Basic |
Syslog |
Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog. |
IBM InfoSphere Guardium |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Ideco UTM |
[OOTB] Ideco UTM Syslog |
Syslog |
Предназначен для обработки событий, поступающих от Ideco UTM по Syslog. Нормализатор поддерживает обработку событий Ideco UTM версии 14.7, 14.10. |
Illumio Policy Compute Engine (PCE) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Imperva Incapsula |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Imperva SecureSphere |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Indeed Access Manager |
[OOTB] Indeed Access Manager syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы Indeed Access Manager по syslog. |
Indeed PAM |
[OOTB] Indeed PAM syslog |
Syslog |
Предназначен для обработки событий Indeed PAM (Privileged Access Manager) версии 2.6. |
Indeed SSO |
[OOTB] Indeed SSO xml |
xml |
Предназначен для обработки событий системы Indeed SSO (Single Sign-On). Нормализатор поддерживает работу с KUMA 2.1.3 и выше. |
InfoWatch Traffic Monitor |
[OOTB] InfoWatch Traffic Monitor SQL |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor. |
Intralinks VIA |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
IPFIX |
[OOTB] IPFIX |
ipfix |
Предназначен для обработки событий в формате IP Flow Information Export (IPFIX). |
Juniper JUNOS |
[OOTB] Juniper - JUNOS |
regexp |
Предназначен для обработки событий аудита, поступающих от сетевых устройств Juniper. |
Kaspersky Anti Targeted Attack (KATA) |
[OOTB] KATA |
cef |
Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack. |
Kaspersky CyberTrace |
[OOTB] CyberTrace |
regexp |
Предназначен для обработки событий Kaspersky CyberTrace. |
Kaspersky Endpoint Detection and Response (KEDR) |
[OOTB] KEDR telemetry |
json |
Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA. Источник событий — kafka, EnrichedEventTopic |
Kaspersky Industrial CyberSecurity for Networks |
[OOTB] KICS4Net v2.x |
cef |
Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 2.х. |
Kaspersky Industrial CyberSecurity for Networks |
[OOTB] KICS4Net v3.x |
Syslog |
Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 3.х. |
Kaspersky KISG |
[OOTB] Kaspersky KISG syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы Kaspersky IoT Secure Gateway (KISG) версии 3.0 по syslog. |
Kaspersky Security Center |
[OOTB] KSC |
cef |
Предназначен для обработки событий Kaspersky Security Center по Syslog. |
Kaspersky Security Center |
[OOTB] KSC from SQL |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center. |
Kaspersky Security for Linux Mail Server (KLMS) |
[OOTB] KLMS Syslog CEF |
Syslog |
Предназначен для обработки событий, поступающих от Kaspersky Security for Linux Mail Server в формате CEF по Syslog. |
Kaspersky Secure Mail Gateway (KSMG) |
[OOTB] KSMG Syslog CEF |
Syslog |
Предназначен для обработки событий Kaspersky Secure Mail Gateway версии 2.0 в формате CEF по Syslog. |
Kaspersky Web Traffic Security (KWTS) |
[OOTB] KWTS Syslog CEF |
Syslog |
Предназначен для обработки событий, поступающих от Kaspersky Web Traffic Security в формате CEF по Syslog. |
Kaspersky Web Traffic Security (KWTS) |
[OOTB] KWTS (KV) |
Syslog |
Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value. |
Kemptechnologies LoadMaster |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Kerio Control |
[OOTB] Kerio Control |
Syslog |
Предназначен для обработки событий межсетевых экранов Kerio Control. |
KUMA |
[OOTB] KUMA forwarding |
json |
Предназначен для обработки событий, перенаправленных из KUMA. |
Libvirt |
[OOTB] Libvirt syslog |
Syslog |
Предназначен для обработки событий Libvirt версии 8.0.0, поступающих по syslog. |
Lieberman Software ERPM |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Linux |
[OOTB] Linux audit and iptables Syslog |
Syslog |
Предназначен для обработки событий операционной системы Linux. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1. |
Linux |
[OOTB] Linux audit and iptables Syslog v1 |
Syslog |
Предназначен для обработки событий операционной системы Linux. |
Linux |
[OOTB] Linux audit.log file |
regexp |
Предназначен для обработки журналов безопасности операционных систем семейства Linux, поступающих по Syslog. |
MariaDB |
[OOTB] MariaDB Audit Plugin Syslog |
Syslog |
Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog. |
Microsoft Active Directory Federation Service (AD FS) |
[OOTB] Microsoft Products for KUMA 3 |
xml |
Предназначен для обработки событий Microsoft AD FS. Нормализатор [OOTB] Microsoft Products for KUMA 3 поддерживает работу с данным источником событий в KUMA 3.0.1 и выше. |
Microsoft Active Directory Domain Service (AD DS) |
[OOTB] Microsoft Products for KUMA 3 |
xml |
Предназначен для обработки событий Microsoft AD DS. Нормализатор [OOTB] Microsoft Products for KUMA 3 поддерживает работу с данным источником событий в KUMA 3.0.1 и выше. |
Microsoft Defender |
[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3 |
xml |
Предназначен для обработки событий системы Microsoft Defender. |
Microsoft DHCP |
[OOTB] MS DHCP file |
regexp |
Предназначен для обработки событий от DHCP-сервера Microsoft. Источник событий — журналы DHCP сервера Windows. |
Microsoft DNS |
[OOTB] DNS Windows |
regexp |
Предназначен для обработки событий DNS сервера Microsoft. Источник событий — журналы DNS сервера Windows. |
Microsoft Exchange |
[OOTB] Exchange CSV |
csv |
Предназначен для обработки журнала событий системы Microsoft Exchange. Источник событий — журналы MTA сервера Exchange. |
Microsoft Hyper-V |
[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3 |
xml |
Предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — журналы Microsoft Hyper-V: Microsoft-Windows-Hyper-V-VMMS-Admin, Microsoft-Windows-Hyper-V-Compute-Operational, Microsoft-Windows-Hyper-V-Hypervisor-Operational, Microsoft-Windows-Hyper-V-StorageVSP-Admin, Microsoft-Windows-Hyper-V-Hypervisor-Admin, Microsoft-Windows-Hyper-V-VMMS-Operational, Microsoft-Windows-Hyper-V-Compute-Admin. |
Microsoft IIS |
[OOTB] IIS Log File Format |
regexp |
Нормализатор обрабатывает события в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging. Источник событий — журналы Microsoft IIS. |
Microsoft Network Policy Server (NPS) |
[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3 |
xml |
Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — события Network Policy Server. |
Microsoft Office365 |
[OOTB] Microsoft Office 365 - basic * |
json |
* Нормализатор предоставляется по запросу. Предназначен для обработки событий Microsoft Office365. |
Microsoft SharePoint Server |
[OOTB] Microsoft SharePoint Server diagnostic log file |
regexp |
Нормализатор поддерживает обработку части событий системы Microsoft SharePoint Server (версия SharePoint Server 2016), хранящихся в диагностических журналах. |
Microsoft Sysmon |
[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3 |
xml |
Нормализатор предназначен для обработки событий модуля Microsoft Sysmon. |
Microsoft Windows 7, 8.1, 10, 11 |
[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3 |
xml |
Предназначен для обработки части событий из журналов Security, System, Application операционной системы Microsoft Windows. |
Microsoft PowerShell |
[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3 |
xml |
Предназначен для обработки событий журналов PowerShell операционной системы Microsoft Windows. |
Microsoft SQL Server |
[Deprecated][OOTB] Microsoft SQL Server xml |
xml |
Предназначен для обработки событий MS SQL Server версии 2008, 2012, 2014, 2016. Нормализатор поддерживает работу с KUMA 2.1.3 и выше. |
Microsoft Windows Remote Desktop Services |
[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3 |
xml |
Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — журнал Applications and Services Logs - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational |
Microsoft Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022 |
[OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3 |
xml |
Предназначен для обработки части событий из журналов Security, System операционной системы Microsoft Windows Server. |
Microsoft Windows XP/2003 |
[OOTB] SNMP. Windows {XP/2003} |
json |
Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP. |
MikroTik |
[OOTB] MikroTik syslog |
regexp |
Предназначен для событий, поступающих от устройств MikroTik по Syslog. |
Minerva Labs Minerva EDR |
[OOTB] Minerva EDR |
regexp |
Предназначен для обработки событий от EDR системы Minerva. |
Multifactor Radius Server for Windows |
[OOTB] Multifactor Radius Server for Windows syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы Multifactor Radius Server версии 1.0.2 для Microsoft Windows по протоколу Syslog. |
MySQL 5.7 |
[OOTB] MariaDB Audit Plugin Syslog |
Syslog |
Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog. |
NetApp |
[OOTB] NetApp syslog, [OOTB] NetApp file |
regexp |
[OOTB] NetApp syslog - предназначен для обработки событий системы NetApp (версия - ONTAP 9.12), поступающих по syslog. [OOTB] NetApp file - предназначен для обработки событий системы NetApp (версия - ONTAP 9.12), хранящихся в файле. |
NetIQ Identity Manager |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
NetScout Systems nGenius Performance Manager |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Netskope Cloud Access Security Broker |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Netwrix Auditor |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Nextcloud |
[OOTB] Nextcloud syslog |
Syslog |
Предназначен для событий Nextcloud версии 26.0.4, поступающих по syslog. Нормализатор не сохраняет информацию из поля Trace. |
Nexthink Engine |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Nginx |
[OOTB] Nginx regexp |
regexp |
Предназначен для обработки событий журнала веб-сервера Nginx. |
NIKSUN NetDetector |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
One Identity Privileged Session Management |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Open VPN |
[OOTB] OpenVPN file |
regexp |
Предназначен для обработки журнала системы OpenVPN. |
Oracle |
[OOTB] Oracle Audit Trail |
sql |
Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle. |
Orion soft zVirt |
[OOTB] Orion Soft zVirt syslog |
regexp |
Предназначен для обработки событий системы виртуализации Orion soft zVirt версии 3.1. |
PagerDuty |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Palo Alto Cortex Data Lake |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Palo Alto Networks NGFW |
[OOTB] PA-NGFW (Syslog-CSV) |
Syslog |
Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog в формате CSV. |
Palo Alto Networks PANOS |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Passwork |
[OOTB] Passwork syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы Passwork версии 050219 по syslog. |
Penta Security WAPPLES |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Positive Technologies ISIM |
[OOTB] PTsecurity ISIM |
regexp |
Предназначен для обработки событий от системы PT Industrial Security Incident Manager. |
Positive Technologies Network Attack Discovery (NAD) |
[OOTB] PTsecurity NAD |
Syslog |
Предназначен для обработки событий от PT Network Attack Discovery (NAD), поступающих по Syslog. |
Positive Technologies Sandbox |
[OOTB] PTsecurity Sandbox |
regexp |
Предназначен для обработки событий системы PT Sandbox. |
Positive Technologies Web Application Firewall |
[OOTB] PTsecurity WAF |
Syslog |
Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall). |
PostgreSQL pgAudit |
[OOTB] PostgreSQL pgAudit Syslog |
Syslog |
Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog. |
PowerDNS |
[OOTB] PowerDNS syslog |
Syslog |
Предназначен для обработки событий PowerDNS Authoritative Server версии 4.5, поступающих по Syslog. |
Proofpoint Insider Threat Management |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Proxmox |
[OOTB] Proxmox file |
regexp |
Предназначен для событий системы Proxmox версии 7.2-3, хранящихся в файле. Нормализатор поддерживает обработку событий в журналах access и pveam. |
PT NAD |
[OOTB] PT NAD json |
json |
Предназначен для обработки событий, поступающий от PT NAD в формате json. Нормализатор поддерживает обработку событий PT NAD версий 11.1, 11.0. |
QEMU - журналы гипервизора |
[OOTB] QEMU - Hypervisor file |
regexp |
Предназначен для обработки событий гипервизора QEMU, хранящихся в файле. Поддерживаются версии QEMU 6.2.0, Libvirt 8.0.0. |
QEMU - журналы виртуальных машин |
[OOTB] QEMU - Virtual Machine file |
regexp |
Предназначен для обработки событий из журналов виртуальных машин гипервизора QEMU версии 6.2.0, хранящихся в файле. |
Radware DefensePro AntiDDoS |
[OOTB] Radware DefensePro AntiDDoS |
Syslog |
Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog. |
Reak Soft Blitz Identity Provider |
[OOTB] Reak Soft Blitz Identity Provider file |
regexp |
Предназначен для обработки событий системы Reak Soft Blitz Identity Provider версии 5.16, хранящихся в файле. |
Recorded Future Threat Intelligence Platform |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
RedCheck Desktop |
[OOTB] RedCheck Desktop file |
regexp |
Предназначен для обработки журналов системы RedCheck Desktop версии 2.6, хранящихся в файле. |
RedCheck WEB |
[OOTB] RedCheck WEB file |
regexp |
Предназначен для обработки журналов системы RedCheck WEB версии 2.6, хранящихся в файлах. |
RED SOFT RED ADM |
[OOTB] RED SOFT RED ADM syslog |
regexp |
Предназначен для обработки событий, поступающих от системы RED ADM (версия РЕД АДМ: Промышленная редакция 1.1) по syslog. Нормализатор поддерживает обработку событий: - подсистемы управления; - контроллера. |
ReversingLabs N1000 Appliance |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Rubicon Communications pfSense |
[OOTB] pfSense Syslog |
Syslog |
Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, поступающих по Syslog. |
Rubicon Communications pfSense |
[OOTB] pfSense w/o hostname |
Syslog |
Предназначен для обработки событий, поступающих от межсетевого экрана pfSense. Syslog-заголовок этих событий не содержит имени хоста. |
SailPoint IdentityIQ |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Sendmail |
[OOTB] Sendmail syslog |
Syslog |
Предназначен для обработки событий Sendmail версии 8.15.2, поступающих по syslog. |
SentinelOne |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Snort |
[OOTB] Snort 3 json file |
json |
Предназначен для обработки cобытий Snort версии 3 в формате JSON. |
Sonicwall TZ |
[OOTB] Sonicwall TZ Firewall |
Syslog |
Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана Sonicwall TZ. |
Sophos Firewall |
[OOTB] Sophos Firewall syslog |
regexp |
Предназначен для обработки событий, поступающих от Sophos Firewall версии 20 по syslog. |
Sophos XG |
[OOTB] Sophos XG |
regexp |
Предназначен для обработки событий от межсетевого экрана Sophos XG. |
Squid |
[OOTB] Squid access Syslog |
Syslog |
Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog. |
Squid |
[OOTB] Squid access.log file |
regexp |
Предназначен для обработки событий журнала Squid прокси-сервера Squid. Источник событий — журналы access.log |
S-Terra VPN Gate |
[OOTB] S-Terra |
Syslog |
Предназначен для обработки событий от устройств S-Terra VPN Gate. |
Suricata |
[OOTB] Suricata json file |
json |
Пакет содержит нормализатор для событий Suricata версии 7.0.1, хранящихся в файле в формате JSON. Нормализатор поддерживает обработку следующих типов событий: flow, anomaly, alert, dns, http, ssl, tls, ftp, ftp_data, ftp, smb, rdp, pgsql, modbus, quic, dhcp, bittorrent_dht, rfb. |
ThreatConnect Threat Intelligence Platform |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
ThreatQuotient |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
TrapX DeceptionGrid |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Trend Micro Control Manager |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Trend Micro Deep Security |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Trend Micro NGFW |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Trustwave Application Security DbProtect |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Unbound |
[OOTB] Unbound Syslog |
Syslog |
Предназначен для обработки событий, поступающих по Syslog от DNS-сервера Unbound. |
UserGate |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF, поступающих от системы UserGate по Syslog. |
Varonis DatAdvantage |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Veriato 360 |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
ViPNet TIAS |
[OOTB] Vipnet TIAS syslog |
Syslog |
Предназначен для обработки событий системы ViPNet TIAS версии 3.8, поступающих по Syslog. |
VMware ESXi |
[OOTB] VMware ESXi syslog |
regexp |
Предназначен для обработки событий VMware ESXi (поддержка ограниченного количества событий от ESXi с версиями 5.5, 6.0, 6.5, 7.0), поступающих по Syslog. |
VMWare Horizon |
[OOTB] VMWare Horizon - Syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы VMWare Horizon версии 2106 по Syslog. |
VMwareCarbon Black EDR |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Vormetric Data Security Manager |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Votiro Disarmer for Windows |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Wallix AdminBastion |
[OOTB] Wallix AdminBastion syslog |
regexp |
Предназначен для событий, поступающих от системы Wallix AdminBastion по Syslog. |
WatchGuard - Firebox |
[OOTB] WatchGuard Firebox |
Syslog |
Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog. |
Webroot BrightCloud |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Winchill Fracas |
[OOTB] PTC Winchill Fracas |
regexp |
Предназначен для обработки событий системы регистрации сбоев Winchill Fracas. |
Yandex Browser корпоративный |
[OOTB] Yandex Browser |
json |
Предназначен для обработки событий, поступающих от корпоративной версии Яндекс Браузера версии 23. |
Zabbix |
[OOTB] Zabbix SQL |
sql |
Предназначен для обработки событий Zabbix версии 6.4. |
ZEEK IDS |
[OOTB] ZEEK IDS json file |
json |
Предназначен для обработки журналов системы ZEEK IDS в формате JSON. Нормализатор поддерживает события от ZEEK IDS версии 1.8. |
Zettaset BDEncrypt |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Zscaler Nanolog Streaming Service (NSS) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
АйТи Бастион – СКДПУ |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF, поступающих от системы АйТи Бастион - СКДПУ по Syslog. |
А-реал Интернет Контроль Сервер (ИКС) |
[OOTB] A-real IKS syslog |
regexp |
Предназначен для обработки событий системы А-реал Интернет Контроль Сервер (ИКС), поступающих по Syslog. Нормализатор поддерживает события от A-real IKS версии 7.0 и выше. |
Веб-сервер Apache |
[OOTB] Apache HTTP Server file |
regexp |
Предназначен для обработки событий Apache HTTP Server версии 2.4, хранящихся в файле. Нормализатор поддерживает обработку событий журнала Application в форматах Common или Combined Log, и журнала Error. Ожидаемый формат журнала Error: "[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i" |
Веб-сервер Apache |
[OOTB] Apache HTTP Server syslog |
Syslog |
Предназначен для обработки событий системы Apache HTTP Server, поступающих по syslog. Нормализатор поддерживает обработку событий Apache HTTP Server версии 2.4 журнала Access в формате Common или Combined Log, и журнала Error. Ожидаемый формат событий журнала Error: "[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i" |
Веб-сервер Lighttpd |
[OOTB] Lighttpd syslog |
Syslog |
Предназначен для обработки событий Access системы Lighttpd, поступающих по syslog. Нормализатор поддерживает обработку событий Lighttpd версии 1.4. Ожидаемый формат событий журнала Access: $remote_addr $http_request_host_name $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" |
ИВК Кольчуга-К |
[OOTB] Kolchuga-K Syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы ИВК Кольчуга-К, версии ЛКНВ.466217.002 по Syslog. |
ИнфоТеКС ViPNet IDS |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF, поступающих от системы ИнфоТеКС ViPNet IDS по Syslog. |
ИнфоТеКС ViPNet Coordinator |
[OOTB] VipNet Coordinator Syslog |
Syslog |
Предназначен для обработки событий от системы ViPNet Coordinator, поступающих по Syslog. |
Код безопасности - Континент |
[OOTB][regexp] Continent IPS/IDS & TLS |
regexp |
Предназначен для обработки журнала событий устройств Континент IPS/IDS. |
Код безопасности - Континент |
[OOTB] Continent SQL |
sql |
Предназначен для получения событий системы Континент из базы данных. |
Код Безопасности SecretNet 7 |
[OOTB] SecretNet SQL |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet. |
Конфидент - Dallas Lock |
[OOTB] Конфидент Dallas Lock |
regexp |
Предназначен для обработки событий, поступающих от системы защиты информации Dallas Lock версии 8. |
КриптПро Ngate |
[OOTB] Ngate Syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы КриптПро Ngate по Syslog. |
НТ Мониторинг и аналитика |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF, поступающих от системы НТ Мониторинг и аналитика по Syslog. |
Прокси-сервер BlueCoat |
[OOTB] BlueCoat Proxy v0.2 |
regexp |
Предназначен для обработки событий прокси-сервера BlueCoat. Источник событий — журнал событий прокси-сервера BlueCoat. |
СКДПУ НТ Шлюз доступа |
[OOTB] Bastion SKDPU-GW |
Syslog |
Предназначен для обработки событий системы СКДПУ НТ Шлюз доступа, поступающих по Syslog. |
Солар Дозор |
[OOTB] Solar Dozor Syslog |
Syslog |
Предназначен для обработки событий, поступающийх от системы Солар Дозор версии 7.9 по Syslog. Нормализатор поддерживает обработку событий в пользовательском формате и не поддерживает обработку событий в формате CEF. |
- |
[OOTB] Syslog header |
Syslog |
Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами. |