Чтобы использовать обновленный набор нормализаторов событий для KUMA 2.0:
Архив с обновлённым набором нормализаторов событий для KUMA 2.0 доступен для скачивания.
Скачать архив с обновленным набором нормализаторов событий для KUMA 2.0
Архив содержит следующие файлы:
Чтобы обновленный набор нормализаторов стал доступен для использования в KUMA, после скачивания архива нормализаторы нужно будет импортировать в KUMA. Поскольку в процессе импорта нормализаторов оригинальные ресурсы, поставлявшиеся с KUMA 2.0, будут заменены доработанными версиями, мы рекомендуем экспортировать ваши ресурсы до того, как вы импортируете доработанные версии.
Пароль для импорта данных – mustB3Ch@ng3d!
В поставку KUMA включены перечисленные в таблице ниже нормализаторы.
Предустановленные нормализаторы
Название нормализатора |
Источник событий |
Тип нормализатора |
Описание |
[OOTB] 1C EventJournal Normalizer |
Журнал регистрации 1C. |
xml |
Предназначен для обработки журнала событий системы 1С. |
[OOTB] 1C TechJournal Normalizer |
Технологический журнал 1С. |
regexp |
Предназначен для обработки технологического журнала событий. |
[OOTB] Ahnlab UTM |
Системные, операционные журналы, подключения, IPS. |
regexp |
Предназначен для обработки событий от системы Ahnlab. |
[OOTB] Apache Access file(Common or Combined Log Format) |
Apache access.log в формате Common or Combined Log Format). |
regexp |
Предназначен для обработки событий в журнале Access веб-сервера Apache. Нормализатор поддерживает обработку событий в форматах Common или Combined Log. |
[OOTB] Apache Access Syslog (Common or Combined Log Format) |
Apache access.log в формате Common or Combined Log Format), с Syslog-заголовком. |
syslog |
Предназначен для обработки событий от веб-сервера Apache в форматах Common или Combined, поступающих по протоколу Syslog. |
[OOTB] Bastion SKDPU-GW |
ИТ Бастион Система СКДПУ. |
syslog |
Предназначен для обработки событий системы СКДПУ НТ Шлюз доступа, поступающих по Syslog. |
[OOTB] Bifit Mitigator Syslog |
События AntiDDoS решения Bifit Mitigator. |
syslog |
Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog. |
[OOTB] BIND Syslog |
Журналы DNS сервера BIND, с заголовком Syslog. |
syslog |
Предназначен для обработки событий DNS-сервера BIND, поступающих по Syslog. |
[OOTB] BlueCoat Proxy v0.2 |
Журнал событий прокси-сервера BlueCoat. |
regexp |
Предназначен для обработки событий прокси-сервера BlueCoat. |
[OOTB] Checkpoint Syslog CEF by CheckPoint |
Checkpoint, нормализация на основании вендорской схемы представления событий в формат CEF. |
syslog |
Предназначен для обработки событий, поступающих от источника событий Checkpoint по протоколу Syslog в формате CEF. |
[OOTB] Cisco ASA Extended v 0.1 |
Cisco ASA базовый расширенный набор событий. |
syslog |
Предназначен для обработки событий устройств Cisco ASA. |
[OOTB] Cisco Basic |
Cisco ASA базовый набор событий. |
syslog |
Предназначен для обработки событий сетевых устройств под управлением прошивки IOS. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Cisco ASA Extended IOS Basic Syslog. |
[OOTB] Cisco WSA AccessFile |
Прокси-сервер Cisco WSA, файл access.log. |
regexp |
Предназначен для обработки журнала событий прокси-сервера Cisco WSA, файл access.log. |
[OOTB] Citrix NetScaler |
События Citrix NetScaler. |
regexp |
Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix NetScaler. |
[OOTB] CyberTrace |
События Kaspersky CyberTrace. |
regexp |
Предназначен для обработки событий Kaspersky CyberTrace. |
[OOTB] DNS Windows |
Журналы DNS сервера Windows. |
regexp |
Предназначен для обработки событий DNS сервера Microsoft. |
[OOTB] Dovecot Syslog |
Журналы POP3/IMAP сервера dovecot. |
syslog |
Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog. |
[OOTB] Eltex MES Switches |
События коммутаторов Eltex MES. |
regexp |
Предназначен для обработки событий от сетевых устройств Eltex. |
[OOTB] Exchange CSV |
Журналы MTA сервера Exchange. |
csv |
Предназначен для обработки журнала событий системы Microsoft Exchange. |
[OOTB] FortiGate KV |
Журналы FortiGate в формате Key-Value. |
regexp |
Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate. |
[OOTB] Fortimail |
Журналы почтовой системы Fortimail. |
regexp |
Предназначен для обработки событий системы защиты электронной почты FortiMail. |
[OOTB] FreeIPA |
Журналы службы каталогов Free IPA. |
json |
Предназначен для обработки событий, поступающих от системы FreeIPA. |
[OOTB] Huawei Eudemon |
Журналы межсетевых экранов Huawei Eudemon. |
regexp |
Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon. |
[OOTB] Huawei USG Basic |
Журналы основных модулей USG. |
syslog |
Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog. |
[OOTB] Ideco UTM syslog |
События Ideco UTM. |
syslog |
Предназначен для обработки событий, поступающих по Syslog от Ideco UTM версии 14.7 и выше. Нормализатор поддерживает обработку событий от следующих модулей: Предотвращение вторжений, Файрвол, Контроль приложений, Контент-фильтр. Также нормализатор поддерживает следующие типы событий: подключение по VPN, аутентификация через веб-интерфейс. |
[OOTB] IIS Log File Format |
Журналы Microsoft IIS. |
regexp |
Нормализатор обрабатывает события с помощью регулярного выражения в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging. |
[OOTB] InfoWatch Traffic Monitor SQL |
DLP система Traffic Monitor компании InfoWatch. |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor. |
[OOTB] IPFIX |
События Netflow формата IPFIX. |
ipfix |
Предназначен для обработки событий в формате IP Flow Information Export (IPFIX). |
[OOTB] Juniper - JUNOS |
Журналы сетевого оборудования Juniper. |
regexp |
Предназначен для обработки событий аудита, поступающих от сетевых устройств Juniper. |
[OOTB] KATA |
Kaspersky Anti Targeted Attack. |
cef |
Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack. |
[OOTB] KEDR telemetry |
Размеченная KATA телеметрия EDR. |
json |
Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA (kafka, EnrichedEventTopic). |
[OOTB] Kerio Control |
События Kerio Control. |
syslog |
Предназначен для обработки событий межсетевых экранов Kerio Control. |
[OOTB] KICS4Net v2.x |
Kaspersky Industrial Cyber Security v 2.x. |
cef |
Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 2. |
[OOTB] KICS4Net v3.x |
Kaspersky Industrial Cyber Security v 3.x. |
syslog |
Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 3. |
[OOTB] KLMS syslog CEF |
Системы анализа и фильтрации почтового трафика Kaspersky Linux Mail Server. |
syslog |
Предназначен для обработки событий систем анализа и фильтрации почтового трафика Kaspersky Linux Mail Server. |
[OOTB] Kolchuga-K syslog |
События ИВК Кольчуга-К версия ЛКНВ.466217.002 |
syslog |
Предназначен для обработки событий системы ИВК Кольчуга-К версия ЛКНВ.466217.002. |
[OOTB] KSC |
Kaspersky Security Center. |
cef |
Предназначен для обработки событий Kaspersky Security Center по Syslog. |
[OOTB] KSC from SQL |
Kaspersky Security Center, запросы к БД MS SQL. |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center. |
[OOTB] KSMG |
Kaspersky Security Mail Gateway. |
syslog |
Предназначен для обработки событий Kaspersky Security Mail Gateway. |
[OOTB] KUMA forwarding |
KUMA |
json |
Предназначен для обработки событий, перенаправленных из KUMA. |
[OOTB] KWTS (KV) |
Журналы KWTS в случае их отправки в формате Key-Value. |
syslog |
Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value. |
[OOTB] KWTS syslog CEF |
События KWTS. |
syslog |
Предназначен для обработки событий системы анализа и фильтрации веб-трафика Kaspersky Web Traffic Security (KWTS) версии 6.1 , поступающих по Syslog в формате CEF. |
[OOTB] Linux audit and iptables Syslog |
События Linux. |
syslog |
Предназначен для обработки событий операционной системы. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1. |
[OOTB] Linux audit and iptables Syslog v1 |
События Linux. |
syslog |
Предназначен для обработки событий операционной системы. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1. |
[OOTB] Linux audit.log file |
События Linux. |
regexp |
Предназначен для обработки журналов безопасности операционных систем семейства Linux, поступающих по Syslog. |
[OOTB] MariaDB Audit plugin syslog |
События MariaDB Audit Plugin. |
syslog |
Предназначен для обработки событий плагина аудита MariaDB Audit Plugin для баз данных MariaDB, MySQL 5.7, поступающих по Syslog. |
[OOTB] MS DHCP file |
Журналы DHCP сервера Windows. |
regexp |
Предназначен для обработки событий от DHCP-сервера Microsoft. |
[OOTB] Minerva EDR |
События Minerva EDR. |
regexp |
Предназначен для обработки событий от EDR системы Minerva. |
[OOTB] NetFlow v5 |
События Netflow v5. |
netflow5 |
Предназначен для обработки событий, поступающих от Netflow версии 5. |
[OOTB] NetFlow v9 |
События Netflow v9. |
netflow9 |
Предназначен для обработки событий, поступающих от Netflow версии 9. |
[OOTB] Nginx regexp |
Журнал Nginx. |
regexp |
Предназначен для обработки событий журнала веб-сервера Nginx. |
[OOTB] Oracle Audit Trail |
Таблица базы данных Oracle. |
sql |
Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle. |
[OOTB] OrionSoft zVirt Syslog |
события системы виртуализации OrionSoft zVirt. |
regexp |
Предназначен для обработки событий системы виртуализации OrionSoft zVirt. |
[OOTB] PA-NGFW (Syslog-CSV) |
Журналы Palo Alto в формате CSV. |
syslog |
Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog. |
[OOTB] PTC Winchill Fracas |
События Winchill Fracas. |
regexp |
Предназначен для обработки событий системы регистрации сбоев Winchill Fracas. |
[OOTB] PTsecurity ISIM |
События ISIM компании Positive Technologies. |
regexp |
Предназначен для обработки событий от системы PT Industrial Security Incident Manager. |
[OOTB] pfSense Syslog |
События pfSence. |
syslog |
Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog. |
[OOTB] pfSense w/o hostname |
Пользовательский нормализатор события pfSence (некорректный формат Syslog заголовка). |
syslog |
Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, c некорректным форматом Syslog-заголовка. |
[OOTB] PostgreSQL pgAudit syslog |
События плагина аудита pgAudit. |
syslog |
Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog. |
[OOTB] PTsecurity NAD |
Network Anomaly Detection компании Positive Technologies. |
syslog |
Предназначен для обработки событий от PT Network Attack Discovery (NAD). |
[OOTB] PTsecurity Sandbox |
События Sandbox компании Positive Technologies. |
regexp |
Предназначен для обработки событий системы PT Sandbox. |
[OOTB] PTsecurity WAF |
Web Application Firewall компании Positive Technologies. |
syslog |
Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall). |
[OOTB] Radware DefensePro AntiDDoS |
События Radware DefensePro AntiDDoS. |
syslog |
Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog. |
[OOTB] S-Terra |
События С-Терра Шлюз. |
syslog |
Предназначен для обработки событий от устройств S-Terra VPN Gate. |
[OOTB] SNMP. Windows {XP/2003} |
Журналы Windows XP. |
json |
Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP. |
[OOTB] SecretNet SQL |
Secret Net 7. |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet. |
[OOTB] SonicWall TZ Firewall |
События межсетевых экранов серии TZ. |
syslog |
Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана SonicWall TZ. |
[OOTB] Sophos XG |
События МЭ Sophos XG. |
regexp |
Предназначен для обработки событий от межсетевого экрана Sophos XG. |
[OOTB] Squid access Syslog |
Журналы access.log прокси-сервера Squid. |
syslog |
Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog. |
[OOTB] Squid access.log file |
Журналы access.log прокси-сервера Squid. |
regexp |
Предназначен для обработки событий журнала Squid прокси-сервера Squid. |
[OOTB] Syslog header |
События в формате Syslog от произвольных источников. Осуществляется парсинг syslog-заголовка. |
syslog |
Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами. |
[OOTB] Syslog-CEF |
События в формате CEF от произвольных источников, с заголовком Syslog. |
syslog |
Предназначен для обработки событий в формате CEF от произвольных источников с заголовком Syslog. Поддерживает чтение файлов от источников: ИнфоТеКС IDS, АйТи Бастион – СКДПУ НТ Мониторинг и аналитика, UserGate, Серчинформ – КИБ Серчинформ, Forcepoint Email Security версии 8.5, VipNet TIAS.
|
[OOTB] Unbound Syslog |
Журналы DNS сервера Unbound. |
syslog |
Предназначен для обработки событий, поступающих от DNS-сервера Unbound. |
[OOTB] ViPNet Coordinator Syslog |
Журналы ViPNet Coordinator. |
syslog |
Предназначен для обработки событий от системы ViPNet Coordinator. |
[OOTB] VMware Horizon - Syslog |
Журналы VMware Horizon. Получение по Syslog. |
syslog |
Предназначен для обработки событий, поступающих от системы VMware Horizon по Syslog. |
[OOTB] Windows Basic |
Базовый набор событий Windows Security. |
xml |
Предназначен для обработки журналов событий операционных систем Microsoft Windows, базовый набор событий. |
[OOTB] Windows Extended v.0.3 |
Расширенный набор событий Windows. |
xml |
Предназначен для обработки журналов событий операционных систем Microsoft Windows, расширенный набор событий. Поддерживает обработку событий с терминальных серверов. Метод парсинга – обработка файла XML. Данный нормализатор будет удалён из набора OOTB через релиз. В случае, если вы используете данный нормализатор необходимо перейти на использование нормализатора [OOTB] Windows Extended v 1.0. |
[OOTB] Windows Extended v 1.0 |
Оптимизирован с уменьшением количества экстранормализаторов. Более полные данные в событиях управления группами. |
xml |
Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. |
[OOTB][regexp] Continent IPS/IDS & TLS |
Континент СОВ, TSL. |
regexp |
Предназначен для обработки событий устройств Континент IPS/IDS в файле. |
[OOTB] Broadcom Symantec Endpoint Protection |
События Symantec Endpoint Protection. |
regexp |
Предназначен для обработки событий от системы Symantec Endpoint Protection. |
[OOTB] Конфидент Dallas Lock |
События Dallas Lock компании Конфидент. |
regexp |
Предназначен для обработки событий, поступающих от системы защиты информации Dallas Lock. |
[OOTB] WatchGuard Firebox |
События межсетевых экранов Firebox. |
syslog |
Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog. |