Содержание
Нормализаторы
Ресурсы нормализатора используются для приведения "сырых" событий из различных форматов к модели данных событий KUMA. Это превращает "сырые" события в нормализованные, которые уже могут обрабатываться другими ресурсами и сервисами KUMA.
Ресурс нормализатора состоит из основного и необязательных дополнительных нормализаторов. Данные передаются по древовидной структуре нормализаторов в зависимости от заданных условий, что позволяет настроить сложную логику обработки событий.
Ресурс нормализатора создается в несколько этапов:
- Создание основного нормализатора
Основной нормализатор создается с помощью кнопки Добавить парсинг событий. Ввод параметров нормализатора завершается нажатием кнопки ОК.
Созданный основной нормализатор отображается в виде темного кружка. Можно нажать на кружок, чтобы открыть параметры нормализатора для редактирования. При наведении на кружок отображается значок плюса: при нажатии на него можно добавить дополнительные нормализаторы.
- Создание условий для использования дополнительного нормализатора
При нажатии на нормализаторе значка плюса откроется окно Добавление дополнительного нормализатора, в котором вы можете определить условия, при которых данные будут поступать в новый нормализатор.
- Создание дополнительного нормализатора
При завершении предыдущего этапа открывается окно создания дополнительного нормализатора. Ввод параметров нормализатора завершается нажатием кнопки ОК.
Созданный дополнительный нормализатор отображается в виде темного блока, на котором указаны условия, при котором этот нормализатор будет задействован (см. этап 2). Условия можно изменить, наведя указатель мыши на дополнительный нормализатор и нажав кнопку с изображением карандаша.
Если навести указатель мыши на дополнительный нормализатор, отобразится кнопка со значком плюса, с помощью которой можно создать новый дополнительный нормализатор. С помощью кнопки со значком корзины нормализатор можно удалить.
Если требуется создать больше дополнительных нормализаторов, повторите этапы 2 и 3.
- Завершение создания ресурса нормализатора
Создание ресурса нормализатора завершается нажатием кнопки Сохранить.
Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.
Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам ресурс нормализатора может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в ресурс нормализатора в разделе веб-интерфейса Ресурсы → Нормализаторы.
Параметры нормализатора
Окно нормализатора содержит две закладки: Схема нормализации и Обогащение.
Схема нормализации
Эта закладка используются для указания основных параметров нормализатора, а также определения правил приведения событий к формату KUMA.
Доступные параметры:
- Название (обязательно) – имя нормализатора. Должно содержать от 1 до 128 символов Юникода. Название основного нормализатора будет использоваться в качестве названия ресурса нормализатора.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
Этот параметр недоступен для дополнительных нормализаторов.
- Метод парсинга (обязательно) – выпадающий список для выбора типа входящих событий. В зависимости от выбора можно будет воспользоваться преднастроенными правилами сопоставления полей событий или же задать свои собственные правила. При выборе некоторых методов парсинга могут стать доступны дополнительные параметры, требуемые для заполнения.
Доступные методы парсинга:
- Хранить исходное событие (обязательно) – с помощью этого раскрывающегося списка можно указать, надо ли сохранять исходное "сырое" событие во вновь созданном нормализованном событии. Доступные значения:
- Не хранить – не сохранять исходное событие. Это значение используется по умолчанию.
- При возникновении ошибок – сохранять исходное событие в поле
Raw
нормализованного события, если в процессе парсинга возникли ошибки. Это значение удобно использовать при отладке сервиса: в этом случае появление у событий непустого поляRaw
будет являться признаком неполадок.Если поля с названиями
*Address
или*Date*
не соответствуют правилам нормализации, такие поля игнорируются. При этом не возникает ошибка нормализации и значения полей не попадают в полеRaw
нормализованного события, даже если был указан параметр Хранить исходное событие → При возникновении ошибок. - Всегда – сохранять сырое событие в поле
Raw
нормализованного события.
Этот параметр недоступен для дополнительных нормализаторов.
- Сохранить дополнительные поля (обязательно) – в этом раскрывающемся списке можно выбрать, хотите ли вы сохранять поля и их значения, для которых не настроены правила сопоставления (см. ниже). Эти данные сохраняются в поле события Extra в виде массива. Нормализованные события можно искать и фильтровать по данным, хранящимся в поле Extra.
Фильтрация по данным из поля события Extra
По умолчанию дополнительные поля не сохраняются.
- Описание – описание ресурса: до 256 символов Юникода.
Этот параметр недоступен для дополнительных нормализаторов.
- Примеры событий – в это поле можно поместить пример данных, которые вы хотите обработать. Пример событий можно также загрузить из файла формата tsv, csv или txt с помощью кнопки Загрузить из файла.
Этот параметр недоступен для метода парсинга sFlow5.
- Блок параметров Сопоставление – здесь можно настроить сопоставление полей исходного события с полями события в формате KUMA:
- Исходные данные – столбец для названий полей исходного события, которые вы хотите преобразовать в поля события KUMA.
Если рядом с названиями полей в столбце Исходные данные нажать на кнопку
, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.
- Поле KUMA – раскрывающийся список для выбора требуемых полей событий KUMA. Поля можно искать, вводя в поле их названия.
- Подпись – в этом столбце можно добавить уникальную пользовательскую метку полям событий, которые начинаются с DeviceCustom*.
Новые строки таблицы можно добавлять с помощью кнопки Добавить строку. Строки можно удалять по отдельности с помощью кнопки
или все сразу с помощью кнопки Очистить все.
Если вы загрузили данные в поле Примеры событий, в таблице отобразится столбец Примеры с примерами значений, переносимых из поля исходного события в поле события KUMA.
- Исходные данные – столбец для названий полей исходного события, которые вы хотите преобразовать в поля события KUMA.
Обогащение
Эта закладка используются для дополнения полей нормализованного события другими данными с помощью правил обогащения, аналогичным правилам в ресурсах правил обогащения. Эти правила хранятся в ресурсе нормализатора, в котором они были созданы. Правил обогащения может быть несколько. Обогащения создаются с помощью кнопки Добавить обогащение.
Параметры, доступные в блоке параметров правила обогащения:
- Тип источника (обязательно) – раскрывающийся список для выбора типа обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.
Доступные типы источников обогащения:
- Целевое поле (обязательно) – раскрывающийся список для выбора поля события KUMA, в которое следует поместить данные.
Условие передачи данных в дополнительный нормализатор
Окно Добавление дополнительного нормализатора используется для определения условий, при которых данные будут попадать в дополнительный нормализатор.
Доступные параметры:
- Поля, которые следует передать в нормализатор – используется для указания полей события в том случае, если вы хотите отправлять в дополнительный нормализатор только события с определенными полями.
Если оставить это поле пустым, в дополнительный нормализатор для обработки будет передано событие целиком.
- Нормализовать, если поле события имеет определенное значение – используется для указания полей события, если вы хотите отправлять в дополнительный нормализатор только события, в которых определенным полям присвоены определенные значения. Значение указывается в поле Значение условия.
Обрабатываемые этими условиями данные можно предварительно преобразовать, если нажать на кнопку
: откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.
Предустановленные нормализаторы
Чтобы использовать обновленный набор нормализаторов событий для KUMA 2.0:
Архив с обновлённым набором нормализаторов событий для KUMA 2.0 доступен для скачивания.
Скачать архив с обновленным набором нормализаторов событий для KUMA 2.0
Архив содержит следующие файлы:
- Файл Normalizers for KUMA 2.0, который содержит нормализаторы .
- Файл Normalizer list for KUMA 2.0.xlsx, который содержит перечень нормализаторов с указанием их типа.
Чтобы обновленный набор нормализаторов стал доступен для использования в KUMA, после скачивания архива нормализаторы нужно будет импортировать в KUMA. Поскольку в процессе импорта нормализаторов оригинальные ресурсы, поставлявшиеся с KUMA 2.0, будут заменены доработанными версиями, мы рекомендуем экспортировать ваши ресурсы до того, как вы импортируете доработанные версии.
Пароль для импорта данных – mustB3Ch@ng3d!
В поставку KUMA включены перечисленные в таблице ниже нормализаторы.
Предустановленные нормализаторы
Название нормализатора |
Источник событий |
Тип нормализатора |
Описание |
[OOTB] 1C EventJournal Normalizer |
Журнал регистрации 1C. |
xml |
Предназначен для обработки журнала событий системы 1С. |
[OOTB] 1C TechJournal Normalizer |
Технологический журнал 1С. |
regexp |
Предназначен для обработки технологического журнала событий. |
[OOTB] Ahnlab UTM |
Системные, операционные журналы, подключения, IPS. |
regexp |
Предназначен для обработки событий от системы Ahnlab. |
[OOTB] Apache Access file(Common or Combined Log Format) |
Apache access.log в формате Common or Combined Log Format). |
regexp |
Предназначен для обработки событий в журнале Access веб-сервера Apache. Нормализатор поддерживает обработку событий в форматах Common или Combined Log. |
[OOTB] Apache Access Syslog (Common or Combined Log Format) |
Apache access.log в формате Common or Combined Log Format), с Syslog-заголовком. |
syslog |
Предназначен для обработки событий от веб-сервера Apache в форматах Common или Combined, поступающих по протоколу Syslog. |
[OOTB] Bastion SKDPU-GW |
ИТ Бастион Система СКДПУ. |
syslog |
Предназначен для обработки событий системы СКДПУ НТ Шлюз доступа, поступающих по Syslog. |
[OOTB] Bifit Mitigator Syslog |
События AntiDDoS решения Bifit Mitigator. |
syslog |
Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog. |
[OOTB] BIND Syslog |
Журналы DNS сервера BIND, с заголовком Syslog. |
syslog |
Предназначен для обработки событий DNS-сервера BIND, поступающих по Syslog. |
[OOTB] BlueCoat Proxy v0.2 |
Журнал событий прокси-сервера BlueCoat. |
regexp |
Предназначен для обработки событий прокси-сервера BlueCoat. |
[OOTB] Checkpoint Syslog CEF by CheckPoint |
Checkpoint, нормализация на основании вендорской схемы представления событий в формат CEF. |
syslog |
Предназначен для обработки событий, поступающих от источника событий Checkpoint по протоколу Syslog в формате CEF. |
[OOTB] Cisco ASA Extended v 0.1 |
Cisco ASA базовый расширенный набор событий. |
syslog |
Предназначен для обработки событий устройств Cisco ASA. |
[OOTB] Cisco Basic |
Cisco ASA базовый набор событий. |
syslog |
Предназначен для обработки событий сетевых устройств под управлением прошивки IOS. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Cisco ASA Extended IOS Basic Syslog. |
[OOTB] Cisco WSA AccessFile |
Прокси-сервер Cisco WSA, файл access.log. |
regexp |
Предназначен для обработки журнала событий прокси-сервера Cisco WSA, файл access.log. |
[OOTB] Citrix NetScaler |
События Citrix NetScaler. |
regexp |
Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix NetScaler. |
[OOTB] CyberTrace |
События Kaspersky CyberTrace. |
regexp |
Предназначен для обработки событий Kaspersky CyberTrace. |
[OOTB] DNS Windows |
Журналы DNS сервера Windows. |
regexp |
Предназначен для обработки событий DNS сервера Microsoft. |
[OOTB] Dovecot Syslog |
Журналы POP3/IMAP сервера dovecot. |
syslog |
Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog. |
[OOTB] Eltex MES Switches |
События коммутаторов Eltex MES. |
regexp |
Предназначен для обработки событий от сетевых устройств Eltex. |
[OOTB] Exchange CSV |
Журналы MTA сервера Exchange. |
csv |
Предназначен для обработки журнала событий системы Microsoft Exchange. |
[OOTB] FortiGate KV |
Журналы FortiGate в формате Key-Value. |
regexp |
Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate. |
[OOTB] Fortimail |
Журналы почтовой системы Fortimail. |
regexp |
Предназначен для обработки событий системы защиты электронной почты FortiMail. |
[OOTB] FreeIPA |
Журналы службы каталогов Free IPA. |
json |
Предназначен для обработки событий, поступающих от системы FreeIPA. |
[OOTB] Huawei Eudemon |
Журналы межсетевых экранов Huawei Eudemon. |
regexp |
Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon. |
[OOTB] Huawei USG Basic |
Журналы основных модулей USG. |
syslog |
Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog. |
[OOTB] Ideco UTM syslog |
События Ideco UTM. |
syslog |
Предназначен для обработки событий, поступающих по Syslog от Ideco UTM версии 14.7 и выше. Нормализатор поддерживает обработку событий от следующих модулей: Предотвращение вторжений, Файрвол, Контроль приложений, Контент-фильтр. Также нормализатор поддерживает следующие типы событий: подключение по VPN, аутентификация через веб-интерфейс. |
[OOTB] IIS Log File Format |
Журналы Microsoft IIS. |
regexp |
Нормализатор обрабатывает события с помощью регулярного выражения в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging. |
[OOTB] InfoWatch Traffic Monitor SQL |
DLP система Traffic Monitor компании InfoWatch. |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor. |
[OOTB] IPFIX |
События Netflow формата IPFIX. |
ipfix |
Предназначен для обработки событий в формате IP Flow Information Export (IPFIX). |
[OOTB] Juniper - JUNOS |
Журналы сетевого оборудования Juniper. |
regexp |
Предназначен для обработки событий аудита, поступающих от сетевых устройств Juniper. |
[OOTB] KATA |
Kaspersky Anti Targeted Attack. |
cef |
Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack. |
[OOTB] KEDR telemetry |
Размеченная KATA телеметрия EDR. |
json |
Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA (kafka, EnrichedEventTopic). |
[OOTB] Kerio Control |
События Kerio Control. |
syslog |
Предназначен для обработки событий межсетевых экранов Kerio Control. |
[OOTB] KICS4Net v2.x |
Kaspersky Industrial Cyber Security v 2.x. |
cef |
Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 2. |
[OOTB] KICS4Net v3.x |
Kaspersky Industrial Cyber Security v 3.x. |
syslog |
Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 3. |
[OOTB] KLMS syslog CEF |
Системы анализа и фильтрации почтового трафика Kaspersky Linux Mail Server. |
syslog |
Предназначен для обработки событий систем анализа и фильтрации почтового трафика Kaspersky Linux Mail Server. |
[OOTB] Kolchuga-K syslog |
События ИВК Кольчуга-К версия ЛКНВ.466217.002 |
syslog |
Предназначен для обработки событий системы ИВК Кольчуга-К версия ЛКНВ.466217.002. |
[OOTB] KSC |
Kaspersky Security Center. |
cef |
Предназначен для обработки событий Kaspersky Security Center по Syslog. |
[OOTB] KSC from SQL |
Kaspersky Security Center, запросы к БД MS SQL. |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center. |
[OOTB] KSMG |
Kaspersky Security Mail Gateway. |
syslog |
Предназначен для обработки событий Kaspersky Security Mail Gateway. |
[OOTB] KUMA forwarding |
KUMA |
json |
Предназначен для обработки событий, перенаправленных из KUMA. |
[OOTB] KWTS (KV) |
Журналы KWTS в случае их отправки в формате Key-Value. |
syslog |
Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value. |
[OOTB] KWTS syslog CEF |
События KWTS. |
syslog |
Предназначен для обработки событий системы анализа и фильтрации веб-трафика Kaspersky Web Traffic Security (KWTS) версии 6.1 , поступающих по Syslog в формате CEF. |
[OOTB] Linux audit and iptables Syslog |
События Linux. |
syslog |
Предназначен для обработки событий операционной системы. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1. |
[OOTB] Linux audit and iptables Syslog v1 |
События Linux. |
syslog |
Предназначен для обработки событий операционной системы. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1. |
[OOTB] Linux audit.log file |
События Linux. |
regexp |
Предназначен для обработки журналов безопасности операционных систем семейства Linux, поступающих по Syslog. |
[OOTB] MariaDB Audit plugin syslog |
События MariaDB Audit Plugin. |
syslog |
Предназначен для обработки событий плагина аудита MariaDB Audit Plugin для баз данных MariaDB, MySQL 5.7, поступающих по Syslog. |
[OOTB] MS DHCP file |
Журналы DHCP сервера Windows. |
regexp |
Предназначен для обработки событий от DHCP-сервера Microsoft. |
[OOTB] Minerva EDR |
События Minerva EDR. |
regexp |
Предназначен для обработки событий от EDR системы Minerva. |
[OOTB] NetFlow v5 |
События Netflow v5. |
netflow5 |
Предназначен для обработки событий, поступающих от Netflow версии 5. |
[OOTB] NetFlow v9 |
События Netflow v9. |
netflow9 |
Предназначен для обработки событий, поступающих от Netflow версии 9. |
[OOTB] Nginx regexp |
Журнал Nginx. |
regexp |
Предназначен для обработки событий журнала веб-сервера Nginx. |
[OOTB] Oracle Audit Trail |
Таблица базы данных Oracle. |
sql |
Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle. |
[OOTB] OrionSoft zVirt Syslog |
события системы виртуализации OrionSoft zVirt. |
regexp |
Предназначен для обработки событий системы виртуализации OrionSoft zVirt. |
[OOTB] PA-NGFW (Syslog-CSV) |
Журналы Palo Alto в формате CSV. |
syslog |
Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog. |
[OOTB] PTC Winchill Fracas |
События Winchill Fracas. |
regexp |
Предназначен для обработки событий системы регистрации сбоев Winchill Fracas. |
[OOTB] PTsecurity ISIM |
События ISIM компании Positive Technologies. |
regexp |
Предназначен для обработки событий от системы PT Industrial Security Incident Manager. |
[OOTB] pfSense Syslog |
События pfSence. |
syslog |
Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog. |
[OOTB] pfSense w/o hostname |
Пользовательский нормализатор события pfSence (некорректный формат Syslog заголовка). |
syslog |
Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, c некорректным форматом Syslog-заголовка. |
[OOTB] PostgreSQL pgAudit syslog |
События плагина аудита pgAudit. |
syslog |
Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog. |
[OOTB] PTsecurity NAD |
Network Anomaly Detection компании Positive Technologies. |
syslog |
Предназначен для обработки событий от PT Network Attack Discovery (NAD). |
[OOTB] PTsecurity Sandbox |
События Sandbox компании Positive Technologies. |
regexp |
Предназначен для обработки событий системы PT Sandbox. |
[OOTB] PTsecurity WAF |
Web Application Firewall компании Positive Technologies. |
syslog |
Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall). |
[OOTB] Radware DefensePro AntiDDoS |
События Radware DefensePro AntiDDoS. |
syslog |
Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog. |
[OOTB] S-Terra |
События С-Терра Шлюз. |
syslog |
Предназначен для обработки событий от устройств S-Terra VPN Gate. |
[OOTB] SNMP. Windows {XP/2003} |
Журналы Windows XP. |
json |
Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP. |
[OOTB] SecretNet SQL |
Secret Net 7. |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet. |
[OOTB] SonicWall TZ Firewall |
События межсетевых экранов серии TZ. |
syslog |
Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана SonicWall TZ. |
[OOTB] Sophos XG |
События МЭ Sophos XG. |
regexp |
Предназначен для обработки событий от межсетевого экрана Sophos XG. |
[OOTB] Squid access Syslog |
Журналы access.log прокси-сервера Squid. |
syslog |
Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog. |
[OOTB] Squid access.log file |
Журналы access.log прокси-сервера Squid. |
regexp |
Предназначен для обработки событий журнала Squid прокси-сервера Squid. |
[OOTB] Syslog header |
События в формате Syslog от произвольных источников. Осуществляется парсинг syslog-заголовка. |
syslog |
Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами. |
[OOTB] Syslog-CEF |
События в формате CEF от произвольных источников, с заголовком Syslog. |
syslog |
Предназначен для обработки событий в формате CEF от произвольных источников с заголовком Syslog. Поддерживает чтение файлов от источников: ИнфоТеКС IDS, АйТи Бастион – СКДПУ НТ Мониторинг и аналитика, UserGate, Серчинформ – КИБ Серчинформ, Forcepoint Email Security версии 8.5, VipNet TIAS.
|
[OOTB] Unbound Syslog |
Журналы DNS сервера Unbound. |
syslog |
Предназначен для обработки событий, поступающих от DNS-сервера Unbound. |
[OOTB] ViPNet Coordinator Syslog |
Журналы ViPNet Coordinator. |
syslog |
Предназначен для обработки событий от системы ViPNet Coordinator. |
[OOTB] VMware Horizon - Syslog |
Журналы VMware Horizon. Получение по Syslog. |
syslog |
Предназначен для обработки событий, поступающих от системы VMware Horizon по Syslog. |
[OOTB] Windows Basic |
Базовый набор событий Windows Security. |
xml |
Предназначен для обработки журналов событий операционных систем Microsoft Windows, базовый набор событий. |
[OOTB] Windows Extended v.0.3 |
Расширенный набор событий Windows. |
xml |
Предназначен для обработки журналов событий операционных систем Microsoft Windows, расширенный набор событий. Поддерживает обработку событий с терминальных серверов. Метод парсинга – обработка файла XML. Данный нормализатор будет удалён из набора OOTB через релиз. В случае, если вы используете данный нормализатор необходимо перейти на использование нормализатора [OOTB] Windows Extended v 1.0. |
[OOTB] Windows Extended v 1.0 |
Оптимизирован с уменьшением количества экстранормализаторов. Более полные данные в событиях управления группами. |
xml |
Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. |
[OOTB][regexp] Continent IPS/IDS & TLS |
Континент СОВ, TSL. |
regexp |
Предназначен для обработки событий устройств Континент IPS/IDS в файле. |
[OOTB] Broadcom Symantec Endpoint Protection |
События Symantec Endpoint Protection. |
regexp |
Предназначен для обработки событий от системы Symantec Endpoint Protection. |
[OOTB] Конфидент Dallas Lock |
События Dallas Lock компании Конфидент. |
regexp |
Предназначен для обработки событий, поступающих от системы защиты информации Dallas Lock. |
[OOTB] WatchGuard Firebox |
События межсетевых экранов Firebox. |
syslog |
Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog. |