В поставку KUMA включены перечисленные в таблице ниже нормализаторы.
Наименование нормализатора |
Источник событий |
Тип |
Комментарий |
[Example] Apache Access Syslog (Common or Combined Log Format) |
Apache access.log в формате Common or Combined Log Format), с Syslog заголовком |
syslog |
|
[Example] Apache Access file (Common or Combined Log Format) |
Apache access.log в формате Common or Combined Log Format) |
regexp |
Чтение файла |
[Example] BIND Syslog |
Журналы DNS сервера BIND, с заголовком Syslog |
syslog |
|
[Example] BIND file |
Журналы DNS сервера BIND |
regexp |
Чтение файла |
[Example] Bastion SKDPU-GW |
ИТ Бастион Система СКДПУ |
syslog |
|
[Example] CEF |
События в формате CEF от произвольных источников |
cef |
|
[Example] Checkpoint Syslog CEF by CheckPoint |
Checkpoint, нормализация на основании вендорской схемы представления событиий в формат CEF |
syslog |
|
[Example] Checkpoint Syslog basic |
Кастомный мапинг полей Checkpoint, нормализация в зависимости от типа устройства |
syslog |
|
[Example] Cisco Basic |
Cisco ASA базовый набор событий |
syslog |
|
[Example] Cisco ASA Extended v 0.1 |
Cisco ASA базовый расширенный набор событий |
syslog |
|
[Example] Cisco WSA AccessFile |
Прокси-сервер Cisco WSA, файл access.log |
regexp |
Чтение файла |
[Example] Continent DB AlertLog |
Континент АПКШ, запрос к БД, таблица AlertLog |
sql |
|
[Example] Continent DB PacketLog |
Континент АПКШ, запрос к БД, таблица PacketLog |
sql |
|
[Example] Continent DB ServerAccessLog |
Континент АПКШ, запрос к БД, таблица ServerAccessLog |
sql |
|
[Example] Continent DB SystemLog |
Континент АПКШ, запрос к БД, таблица SystemLog |
sql |
|
[Example] CyberTrace |
События Kaspersky CyberTrace |
regexp |
|
[Example] DNS Windows |
Журналы DNS сервера Windows |
regexp |
Чтение файла |
[Example] Dovecot Syslog |
Журналы POP3/IMAP сервера dovecpt |
syslog |
|
[Example] Exchange CSV |
Журналы MTA сервера Exchange |
csv |
Чтение файла |
[Example] Fortimail |
Журналы почтовой системы Fortimail |
regexp |
Только KUMA v 1.5 |
[Example] IIS Log File Format |
Журналы Microsoft IIS |
regexp |
Чтение файла |
[Example] IPFIX |
события Netflow формата IPFIX |
ipfix |
|
[Example] InfoWatch Traffic Monitor |
DLP система Traffic Monitor компании Инфовоч |
sql |
|
[Example] KATA |
Kaspersky Atri Target Attack |
cef |
|
[Example] KICS4Net v2.x |
Kaspersky Industrial Cyber Security v 2.x |
cef |
|
[Example] KICS4Net v3.x |
Kaspersky Industrial Cyber Security v 3.x |
syslog |
|
[Example] KSC |
Kaspersky Security Center |
cef |
Пассивное получение событий от KSC: KUMA прослушивает порт, KSC отправляет события |
[Example] KSC from SQL |
Kaspersky Security Center |
sql |
Активное получение событий из KSC: KUMA получает события из БД KSC |
[Example] KSMG |
Kaspersky Security Mail Gateway |
syslog |
|
[Example] Linux audit and iptables Syslog |
События Linux |
syslog |
|
[Example] Linux audit.log file |
События Linux |
regexp |
Чтение файла |
[Example] Syslog |
События в формате Syslog от произвольных источников |
syslog |
|
[Example] Syslog-CEF |
События в формате CEF от произвольных источников, с заголовком Syslog |
syslog |
|
[Example] VipNet Coordinator Syslog |
Журналы VipNet Coordinator |
syslog |
|
[Example] Windows Basic |
Базовый набор событий Windows Security |
xml |
|
[Example] Windows Extended v.0.1 |
Расширенный набор событий Windows |
xml |
|
[Example] pfSense Syslog |
События pfSence |
syslog |
|
[Example] pfSense w/o hostname |
Кастомный нормализатор события pfSence (некорректный формат Syslog заголовка) |
regexp |
|
[Example][Syslog] Continent IPS/IDS & TLS |
Континент СОВ, TSL |
syslog |
Получение по Syslog |
[Example][regexp] Continent IPS/IDS & TLS |
Континент СОВ, TSL |
regexp |
Чтение файла |
[Example] NetFlow v5 |
События Netflow v5 |
netflow5 |
|
[Example] NetFlow v9 |
События Netflow v9 |
netflow9 |
|
[Example] MS DHCP file |
Журналы DHCP сервера Windows |
csv |
Чтение файла |
[Example] Nginx regexp |
Журнал Nginx |
regexp |
|
[Example] PA-NGFW (Syslog-CSV) |
Журналы Palo Alto в формате CSV |
csv |
Предпочтительный вариант отправки журналов – формат CEF. Отправка журналов в csv, только если отправка в CEF невозможна |
[Example] PT WAF |
Web Application Firewall компании Positive Technologies |
syslog |
|
[Example] Squid access Syslog |
Журналы access.log прокси-сервера Squid |
syslog |
|
[Example] Squid access.log file |
Журналы access.log прокси-сервера Squid |
regexp |
Чтение файла |
[Example] Unbound Syslog |
Журналы DNS сервера unbount |
syslog |
|