Kaspersky Unified Monitoring and Analysis Platform

Нормализаторы

Ресурсы нормализатора используются для приведения "сырых" событий из различных форматов к модели данных событий KUMA. Это превращает "сырые" события в нормализованные, которые уже могут обрабатываться другими ресурсами и сервисами KUMA.

Ресурс нормализатора состоит из основного и необязательных дополнительных нормализаторов. Данные передаются по древовидной структуре нормализаторов в зависимости от заданных условий, что позволяет настроить сложную логику обработки событий.

Ресурс нормализатора создается в несколько этапов:

  1. Создание основного нормализатора

    Основной нормализатор создается с помощью кнопки Добавить парсинг событий. Ввод параметров нормализатора завершается нажатием кнопки ОК.

    Созданный основной нормализатор отображается в виде темного кружка. Можно нажать на кружок, чтобы открыть параметры нормализатора для редактирования. При наведении на кружок отображается значок плюса: при нажатии на него можно добавить дополнительные нормализаторы.

  2. Создание условий для использования дополнительного нормализатора

    При нажатии на нормализаторе значка плюса откроется окно Добавление дополнительного нормализатора, в котором вы можете определить условия, при которых данные будут поступать в новый нормализатор.

  3. Создание дополнительного нормализатора

    При завершении предыдущего этапа открывается окно создания дополнительного нормализатора. Ввод параметров нормализатора завершается нажатием кнопки ОК.

    Созданный дополнительный нормализатор отображается в виде темного блока, на котором указаны условия, при котором этот нормализатор будет задействован (см. этап 2). Условия можно изменить, наведя указатель мыши на дополнительный нормализатор и нажав кнопку с изображением карандаша.

    Если навести указатель мыши на дополнительный нормализатор, отобразится кнопка со значком плюса, с помощью которой можно создать новый дополнительный нормализатор. С помощью кнопки со значком корзины нормализатор можно удалить.

    Если требуется создать больше дополнительных нормализаторов, повторите этапы 2 и 3.

  4. Завершение создания ресурса нормализатора

    Создание ресурса нормализатора завершается нажатием кнопки Сохранить.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам ресурс нормализатора может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в ресурс нормализатора в разделе веб-интерфейса РесурсыНормализаторы.

См. также:

Требования к переменным

В начало
[Topic 217942]

Параметры нормализатора

Окно нормализатора содержит две закладки: Схема нормализации и Обогащение.

Схема нормализации

Эта закладка используются для указания основных параметров нормализатора, а также определения правил приведения событий к формату KUMA.

Доступные параметры:

  • Название (обязательно) – имя нормализатора. Должно содержать от 1 до 128 символов Юникода. Название основного нормализатора будет использоваться в качестве названия ресурса нормализатора.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.

    Этот параметр недоступен для дополнительных нормализаторов.

  • Метод парсинга (обязательно) – выпадающий список для выбора типа входящих событий. В зависимости от выбора можно будет воспользоваться преднастроенными правилами сопоставления полей событий или же задать свои собственные правила. При выборе некоторых методов парсинга могут стать доступны дополнительные параметры, требуемые для заполнения.

    Доступные методы парсинга:

    • json

      Этот метод парсинга используется для обработки данных в формате JSON.

      При обработке файлов с иерархически выстроенными данными можно обращаться к полям вложенных объектов, поочередно через точку указывая названия параметров. Например, к параметру username из строки "user":{"username":"system:node:example-01"} можно обратиться с помощью запроса user.username.

    • cef

      Этот метод парсинга используется для обработки данных в формате CEF.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

    • regexp

      Этот метод парсинга используется для создания собственных правил обработки данных в формате JSON.

      В поле блока параметров Нормализация необходимо добавить регулярное выражение (синтаксис RE2) c именованными группами захвата: имя группы и ее значение будут считаться полем и значением "сырого" события, которое можно будет преобразовать в поле события формата KUMA.

      Чтобы добавить правила обработки событий:

      1. Скопируйте в поле Примеры событий пример данных, которые вы хотите обработать. Это необязательный, но рекомендуемый шаг.
      2. В поле блока параметров Нормализация добавьте регулярное выражение c именованными группами захвата в синтаксисе RE2, например "(?P<name>regexp)".

        Можно добавить несколько регулярных выражений с помощью кнопки Добавить регулярное выражение. При необходимости удалить регулярное выражение, воспользуйтесь кнопкой cross.

      3. Нажмите на кнопку Перенести названия полей в таблицу.

        Имена групп захвата отображаются в столбце Поле KUMA таблицы Сопоставление. Теперь в столбце напротив каждой группы захвата можно выбрать соответствующее ей поле KUMA или, если вы именовали группы захвата в соответствии с форматом CEF, можно воспользоваться автоматическим сопоставлением CEF, поставив флажок Использовать синтаксис CEF при нормализации.

      Правила обработки событий добавлены.

    • syslog

      Этот метод парсинга используется для обработки данных в формате syslog.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

    • csv

      Этот метод парсинга используется для создания собственных правил обработки данных в формате CSV.

      При выборе этого метода необходимо в поле Разделитель указать разделитель значений в строке. В качестве разделителя допускается использовать любой однобайтовый символ ASCII.

    • kv

      Этот метод парсинга используется для обработки данных в формате ключ-значение.

      При выборе этого метода необходимо указать значения в следующих обязательных полях:

      • Разделитель пар – укажите символ, которые будет служит разделителем пар ключ-значение. Допускается указать любое односимвольное (1 байт) значение при условии, что символ не будет совпадать с разделителем значений.
      • Разделитель значений – укажите символ, который будет служить разделителем между ключом и значением. Допускается указать любое односимвольное (1 байт) значение при условии, что символ не будет совпадать с разделителем пар ключ-значение.
    • xml

      Этот метод парсинга используется для обработки данных в формате XML.

      При выборе этого метода в блоке параметров Атрибуты XML можно указать ключевые атрибуты, которые следует извлекать из тегов. Если в структуре XML в одном теге есть атрибуты с разными значениями, можно определить нужное значение, указав ключ к нему в столбце Исходные данные таблицы Сопоставление.

      Чтобы добавить ключевые атрибуты XML,

      Нажмите на кнопку Добавить поле и в появившемся окне укажите путь к нужному атрибуту.

      Можно добавить несколько атрибутов. Атрибуты можно удалить по одному с помощью значка с крестиком или все сразу с помощью кнопки Сбросить.

      Если ключевые атрибуты XML не указаны, при сопоставлении полей уникальный путь к значению XML будет представлен последовательностью тегов.

    • netflow5

      Этот метод парсинга используется для обработки данных в формате NetFlow v5.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

      В правилах сопоставления по умолчанию для типа netflow5 тип протокола не указывается в полях событий KUMA. При парсинге данных в формате NetFlow в закладке нормализатора Обогащение следует создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

    • netflow9

      Этот метод парсинга используется для обработки данных в формате NetFlow v9.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

      В правилах сопоставления по умолчанию для типа netflow9 тип протокола не указывается в полях событий KUMA. При парсинге данных в формате NetFlow в закладке нормализатора Обогащение следует создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

    • sflow5

      Этот метод парсинга используется для обработки данных в формате sFlow5.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

    • ipfix

      Этот метод парсинга используется для обработки данных в формате IPFIX.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

      В правилах сопоставления по умолчанию для типа ipfix тип протокола не указывается в полях событий KUMA. При парсинге данных в формате NetFlow в закладке нормализатора Обогащение следует создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

    • sql

      Этот метод парсинга используется для обработки данных в формате SQL.

  • Хранить исходное событие (обязательно) – с помощью этого раскрывающегося списка можно указать, надо ли сохранять исходное "сырое" событие во вновь созданном нормализованном событии. Доступные значения:
    • Не хранить – не сохранять исходное событие. Это значение используется по умолчанию.
    • При возникновении ошибок – сохранять исходное событие в поле Raw нормализованного события, если в процессе парсинга возникли ошибки. Это значение удобно использовать при отладке сервиса: в этом случае появление у событий непустого поля Raw будет являться признаком неполадок.

      Если поля с названиями *Address или *Date* не соответствуют правилам нормализации, такие поля игнорируются. При этом не возникает ошибка нормализации и значения полей не попадают в поле Raw нормализованного события, даже если был указан параметр Хранить исходное событиеПри возникновении ошибок.

    • Всегда – сохранять сырое событие в поле Raw нормализованного события.

    Этот параметр недоступен для дополнительных нормализаторов.

  • Сохранить дополнительные поля (обязательно) – в этом раскрывающемся списке можно выбрать, хотите ли вы сохранять поля и их значения, для которых не настроены правила сопоставления (см. ниже). Эти данные сохраняются в поле события Extra в виде массива. Нормализованные события можно искать и фильтровать по данным, хранящимся в поле Extra.

    Фильтрация по данным из поля события Extra

    Условия для фильтров по данным из поля события Extra:

    • Условие – Если.
    • Левый операнд – поле события.
    • В поле события вы можете указать одно из следующих значений:
      • Поле Extra.
      • Значение из поля Extra в следующем формате:

        Extra.<название поля>

        Например, Extra.app.

        Значение этого типа указывается вручную.

      • Значение из массива, записанного в поле Extra, в следующем формате:

        Extra.<название поля>.<элемент массива>

        Например, Extra.array.0.

        Нумерация значений в массиве начинается с 0.

        Значение этого типа указывается вручную.

    • Оператор – =.
    • Правый операнд – константа.
    • Значение – значение, по которому требуется фильтровать события.

    По умолчанию дополнительные поля не сохраняются.

  • Описание – описание ресурса: до 256 символов Юникода.

    Этот параметр недоступен для дополнительных нормализаторов.

  • Примеры событий – в это поле можно поместить пример данных, которые вы хотите обработать. Пример событий можно также загрузить из файла формата tsv, csv или txt с помощью кнопки Загрузить из файла.

    Этот параметр недоступен для метода парсинга sFlow5.

  • Блок параметров Сопоставление – здесь можно настроить сопоставление полей исходного события с полями события в формате KUMA:
    • Исходные данные – столбец для названий полей исходного события, которые вы хотите преобразовать в поля события KUMA.

      Если рядом с названиями полей в столбце Исходные данные нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

      Доступные преобразования

      Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

      Доступные преобразования:

      • lower – используется для перевода всех символов значения в нижний регистр
      • upper – используется для перевода всех символов значения в верхний регистр
      • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
      • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
      • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
        • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
      • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
        • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
    • Поле KUMA – раскрывающийся список для выбора требуемых полей событий KUMA. Поля можно искать, вводя в поле их названия.
    • Подпись – в этом столбце можно добавить уникальную пользовательскую метку полям событий, которые начинаются с DeviceCustom*.

    Новые строки таблицы можно добавлять с помощью кнопки Добавить строку. Строки можно удалять по отдельности с помощью кнопки cross или все сразу с помощью кнопки Очистить все.

    Если вы загрузили данные в поле Примеры событий, в таблице отобразится столбец Примеры с примерами значений, переносимых из поля исходного события в поле события KUMA.

Обогащение

Эта закладка используются для дополнения полей нормализованного события другими данными с помощью правил обогащения, аналогичным правилам в ресурсах правил обогащения. Эти правила хранятся в ресурсе нормализатора, в котором они были созданы. Правил обогащения может быть несколько. Обогащения создаются с помощью кнопки Добавить обогащение.

Параметры, доступные в блоке параметров правила обогащения:

  • Тип источника (обязательно) – раскрывающийся список для выбора типа обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.

    Доступные типы источников обогащения:

    • константа

      Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

      • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов Юникода. Если оставить это поле пустым, существующее значение поля события будет удалено.
      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

    • словарь

      Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря.

      При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

    • событие

      Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
      • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
      • Если нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

        Доступные преобразования

        Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

        Доступные преобразования:

        • lower – используется для перевода всех символов значения в нижний регистр
        • upper – используется для перевода всех символов значения в верхний регистр
        • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
        • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
        • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
          • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
        • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
        • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
          • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
    • шаблон

      Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

      • В поле Шаблон поместите шаблон Go.

        Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

        Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
  • Целевое поле (обязательно) – раскрывающийся список для выбора поля события KUMA, в которое следует поместить данные.
В начало
[Topic 221932]

Условие передачи данных в дополнительный нормализатор

Окно Добавление дополнительного нормализатора используется для определения условий, при которых данные будут попадать в дополнительный нормализатор.

Доступные параметры:

  • Поля, которые следует передать в нормализатор – используется для указания полей события в том случае, если вы хотите отправлять в дополнительный нормализатор только события с определенными полями.

    Если оставить это поле пустым, в дополнительный нормализатор для обработки будет передано событие целиком.

  • Нормализовать, если поле события имеет определенное значение – используется для указания полей события, если вы хотите отправлять в дополнительный нормализатор только события, в которых определенным полям присвоены определенные значения. Значение указывается в поле Значение условия.

    Обрабатываемые этими условиями данные можно предварительно преобразовать, если нажать на кнопку wrench-new: откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

    Доступные преобразования

    Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

    Доступные преобразования:

    • lower – используется для перевода всех символов значения в нижний регистр
    • upper – используется для перевода всех символов значения в верхний регистр
    • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
    • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
    • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
      • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
      • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
    • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
    • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
    • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
    • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
      • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
      • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
В начало
[Topic 221934]

Предустановленные нормализаторы

Чтобы использовать обновленный набор нормализаторов событий для KUMA 2.0:

Архив с обновлённым набором нормализаторов событий для KUMA 2.0 доступен для скачивания.

Скачать архив с обновленным набором нормализаторов событий для KUMA 2.0

Архив содержит следующие файлы:

  • Файл Normalizers for KUMA 2.0, который содержит нормализаторы .
  • Файл Normalizer list for KUMA 2.0.xlsx, который содержит перечень нормализаторов с указанием их типа.

Чтобы обновленный набор нормализаторов стал доступен для использования в KUMA, после скачивания архива нормализаторы нужно будет импортировать в KUMA. Поскольку в процессе импорта нормализаторов оригинальные ресурсы, поставлявшиеся с KUMA 2.0, будут заменены доработанными версиями, мы рекомендуем экспортировать ваши ресурсы до того, как вы импортируете доработанные версии.

Пароль для импорта данных – mustB3Ch@ng3d!

В поставку KUMA включены перечисленные в таблице ниже нормализаторы.

Предустановленные нормализаторы

Название нормализатора

Источник событий

Тип нормализатора

Описание

[OOTB] 1C EventJournal Normalizer

Журнал регистрации 1C.

xml

Предназначен для обработки журнала событий системы 1С.

[OOTB] 1C TechJournal Normalizer

Технологический журнал 1С.

regexp

Предназначен для обработки технологического журнала событий.

[OOTB] Ahnlab UTM

Системные, операционные журналы, подключения, IPS.

regexp

Предназначен для обработки событий от системы Ahnlab.

[OOTB] Apache Access file(Common or Combined Log Format)

Apache access.log в формате Common or Combined Log Format).

regexp

Предназначен для обработки событий в журнале Access веб-сервера Apache. Нормализатор поддерживает обработку событий в форматах Common или Combined Log.

[OOTB] Apache Access Syslog (Common or Combined Log Format)

Apache access.log в формате Common or Combined Log Format), с Syslog-заголовком.

syslog

Предназначен для обработки событий от веб-сервера Apache в форматах Common или Combined, поступающих по протоколу Syslog.

[OOTB] Bastion SKDPU-GW

ИТ Бастион Система СКДПУ.

syslog

Предназначен для обработки событий системы СКДПУ НТ Шлюз доступа, поступающих по Syslog.

[OOTB] Bifit Mitigator Syslog

События AntiDDoS решения Bifit Mitigator.

syslog

Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.

[OOTB] BIND Syslog

Журналы DNS сервера BIND, с заголовком Syslog.

syslog

Предназначен для обработки событий DNS-сервера BIND, поступающих по Syslog.

[OOTB] BlueCoat Proxy v0.2

Журнал событий прокси-сервера BlueCoat.

regexp

Предназначен для обработки событий прокси-сервера BlueCoat.

[OOTB] Checkpoint Syslog CEF by CheckPoint

Checkpoint, нормализация на основании вендорской схемы представления событий в формат CEF.

syslog

Предназначен для обработки событий, поступающих от источника событий Checkpoint по протоколу Syslog в формате CEF.

[OOTB] Cisco ASA Extended v 0.1

Cisco ASA базовый расширенный набор событий.

syslog

Предназначен для обработки событий устройств Cisco ASA.

[OOTB] Cisco Basic

Cisco ASA базовый набор событий.

syslog

Предназначен для обработки событий сетевых устройств под управлением прошивки IOS.

Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Cisco ASA Extended IOS Basic Syslog.

[OOTB] Cisco WSA AccessFile

Прокси-сервер Cisco WSA, файл access.log.

regexp

Предназначен для обработки журнала событий прокси-сервера Cisco WSA, файл access.log.

[OOTB] Citrix NetScaler

События Citrix NetScaler.

regexp

Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix NetScaler.

[OOTB] CyberTrace

События Kaspersky CyberTrace.

regexp

Предназначен для обработки событий Kaspersky CyberTrace.

[OOTB] DNS Windows

Журналы DNS сервера Windows.

regexp

Предназначен для обработки событий DNS сервера Microsoft.

[OOTB] Dovecot Syslog

Журналы POP3/IMAP сервера dovecot.

syslog

Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog.

[OOTB] Eltex MES Switches

События коммутаторов Eltex MES.

regexp

Предназначен для обработки событий от сетевых устройств Eltex.

[OOTB] Exchange CSV

Журналы MTA сервера Exchange.

csv

Предназначен для обработки журнала событий системы Microsoft Exchange.

[OOTB] FortiGate KV

Журналы FortiGate в формате Key-Value.

regexp

Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate.

[OOTB] Fortimail

Журналы почтовой системы Fortimail.

regexp

Предназначен для обработки событий системы защиты электронной почты FortiMail.

[OOTB] FreeIPA

Журналы службы каталогов Free IPA.

json

Предназначен для обработки событий, поступающих от системы FreeIPA.

[OOTB] Huawei Eudemon

Журналы межсетевых экранов Huawei Eudemon.

regexp

Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon.

[OOTB] Huawei USG Basic

Журналы основных модулей USG.

syslog

Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog.

[OOTB] Ideco UTM syslog

События Ideco UTM.

syslog

Предназначен для обработки событий, поступающих по Syslog от Ideco UTM версии 14.7 и выше. Нормализатор поддерживает обработку событий от следующих модулей: Предотвращение вторжений, Файрвол, Контроль приложений, Контент-фильтр. Также нормализатор поддерживает следующие типы событий: подключение по VPN, аутентификация через веб-интерфейс.

[OOTB] IIS Log File Format

Журналы Microsoft IIS.

regexp

Нормализатор обрабатывает события с помощью регулярного выражения в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging.

[OOTB] InfoWatch Traffic Monitor SQL

DLP система Traffic Monitor компании InfoWatch.

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor.

[OOTB] IPFIX

События Netflow формата IPFIX.

ipfix

Предназначен для обработки событий в формате IP Flow Information Export (IPFIX).

[OOTB] Juniper - JUNOS

Журналы сетевого оборудования Juniper.

regexp

Предназначен для обработки событий аудита, поступающих от сетевых устройств Juniper.

[OOTB] KATA

Kaspersky Anti Targeted Attack.

cef

Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack.

[OOTB] KEDR telemetry

Размеченная KATA телеметрия EDR.

json

Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA (kafka, EnrichedEventTopic).

[OOTB] Kerio Control

События Kerio Control.

syslog

Предназначен для обработки событий межсетевых экранов Kerio Control.

[OOTB] KICS4Net v2.x

Kaspersky Industrial Cyber Security v 2.x.

cef

Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 2.

[OOTB] KICS4Net v3.x

Kaspersky Industrial Cyber Security v 3.x.

syslog

Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 3.

[OOTB] KLMS syslog CEF

Системы анализа и фильтрации почтового трафика Kaspersky Linux Mail Server.

syslog

Предназначен для обработки событий систем анализа и фильтрации почтового трафика Kaspersky Linux Mail Server.

[OOTB] Kolchuga-K syslog

События ИВК Кольчуга-К версия ЛКНВ.466217.002

syslog

Предназначен для обработки событий системы ИВК Кольчуга-К версия ЛКНВ.466217.002.

[OOTB] KSC

Kaspersky Security Center.

cef

Предназначен для обработки событий Kaspersky Security Center по Syslog.

[OOTB] KSC from SQL

Kaspersky Security Center, запросы к БД MS SQL.

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center.

[OOTB] KSMG

Kaspersky Security Mail Gateway.

syslog

Предназначен для обработки событий Kaspersky Security Mail Gateway.

[OOTB] KUMA forwarding

KUMA

json

Предназначен для обработки событий, перенаправленных из KUMA.

[OOTB] KWTS (KV)

Журналы KWTS в случае их отправки в формате Key-Value.

syslog

Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value.

[OOTB] KWTS syslog CEF

События KWTS.

syslog

Предназначен для обработки событий системы анализа и фильтрации веб-трафика Kaspersky Web Traffic Security (KWTS) версии 6.1 , поступающих по Syslog в формате CEF.

[OOTB] Linux audit and iptables Syslog

События Linux.

syslog

Предназначен для обработки событий операционной системы.

Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1.

[OOTB] Linux audit and iptables Syslog v1

События Linux.

syslog

Предназначен для обработки событий операционной системы.

Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1.

[OOTB] Linux audit.log file

События Linux.

regexp

Предназначен для обработки журналов безопасности операционных систем семейства Linux, поступающих по Syslog.

[OOTB] MariaDB Audit plugin syslog

События MariaDB Audit Plugin.

syslog

Предназначен для обработки событий плагина аудита MariaDB Audit Plugin для баз данных MariaDB, MySQL 5.7, поступающих по Syslog.

[OOTB] MS DHCP file

Журналы DHCP сервера Windows.

regexp

Предназначен для обработки событий от DHCP-сервера Microsoft.

[OOTB] Minerva EDR

События Minerva EDR.

regexp

Предназначен для обработки событий от EDR системы Minerva.

[OOTB] NetFlow v5

События Netflow v5.

netflow5

Предназначен для обработки событий, поступающих от Netflow версии 5.

[OOTB] NetFlow v9

События Netflow v9.

netflow9

Предназначен для обработки событий, поступающих от Netflow версии 9.

[OOTB] Nginx regexp

Журнал Nginx.

regexp

Предназначен для обработки событий журнала веб-сервера Nginx.

[OOTB] Oracle Audit Trail

Таблица базы данных Oracle.

sql

Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle.

[OOTB] OrionSoft zVirt Syslog

события системы виртуализации OrionSoft zVirt.

regexp

Предназначен для обработки событий системы виртуализации OrionSoft zVirt.

[OOTB] PA-NGFW (Syslog-CSV)

Журналы Palo Alto в формате CSV.

syslog

Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog.

[OOTB] PTC Winchill Fracas

События Winchill Fracas.

regexp

Предназначен для обработки событий системы регистрации сбоев Winchill Fracas.

[OOTB] PTsecurity ISIM

События ISIM компании Positive Technologies.

regexp

Предназначен для обработки событий от системы PT Industrial Security Incident Manager.

[OOTB] pfSense Syslog

События pfSence.

syslog

Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog.

[OOTB] pfSense w/o hostname

Пользовательский нормализатор события pfSence (некорректный формат Syslog заголовка).

syslog

Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, c некорректным форматом Syslog-заголовка.

[OOTB] PostgreSQL pgAudit syslog

События плагина аудита pgAudit.

syslog

Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog.

[OOTB] PTsecurity NAD

Network Anomaly Detection компании Positive Technologies.

syslog

Предназначен для обработки событий от PT Network Attack Discovery (NAD).

[OOTB] PTsecurity Sandbox

События Sandbox компании Positive Technologies.

regexp

Предназначен для обработки событий системы PT Sandbox.

[OOTB] PTsecurity WAF

Web Application Firewall компании Positive Technologies.

syslog

Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall).

[OOTB] Radware DefensePro AntiDDoS

События Radware DefensePro AntiDDoS.

syslog

Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.

[OOTB] S-Terra

События С-Терра Шлюз.

syslog

Предназначен для обработки событий от устройств S-Terra VPN Gate.

[OOTB] SNMP. Windows {XP/2003}

Журналы Windows XP.

json

Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP.

[OOTB] SecretNet SQL

Secret Net 7.

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet.

[OOTB] SonicWall TZ Firewall

События межсетевых экранов серии TZ.

syslog

Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана SonicWall TZ.

[OOTB] Sophos XG

События МЭ Sophos XG.

regexp

Предназначен для обработки событий от межсетевого экрана Sophos XG.

[OOTB] Squid access Syslog

Журналы access.log прокси-сервера Squid.

syslog

Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog.

[OOTB] Squid access.log file

Журналы access.log прокси-сервера Squid.

regexp

Предназначен для обработки событий журнала Squid прокси-сервера Squid.

[OOTB] Syslog header

События в формате Syslog от произвольных источников. Осуществляется парсинг syslog-заголовка.

syslog

Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами.

[OOTB] Syslog-CEF

События в формате CEF от произвольных источников, с заголовком Syslog.

syslog

Предназначен для обработки событий в формате CEF от произвольных источников с заголовком Syslog. Поддерживает чтение файлов от источников: ИнфоТеКС IDS, АйТи Бастион – СКДПУ НТ Мониторинг и аналитика, UserGate, Серчинформ – КИБ Серчинформ, Forcepoint Email Security версии 8.5, VipNet TIAS.

 

[OOTB] Unbound Syslog

Журналы DNS сервера Unbound.

syslog

Предназначен для обработки событий, поступающих от DNS-сервера Unbound.

[OOTB] ViPNet Coordinator Syslog

Журналы ViPNet Coordinator.

syslog

Предназначен для обработки событий от системы ViPNet Coordinator.

[OOTB] VMware Horizon - Syslog

Журналы VMware Horizon. Получение по Syslog.

syslog

Предназначен для обработки событий, поступающих от системы VMware Horizon по Syslog.

[OOTB] Windows Basic

Базовый набор событий Windows Security.

xml

Предназначен для обработки журналов событий операционных систем Microsoft Windows, базовый набор событий.

[OOTB] Windows Extended v.0.3

Расширенный набор событий Windows.

xml

Предназначен для обработки журналов событий операционных систем Microsoft Windows, расширенный набор событий. Поддерживает обработку событий с терминальных серверов. Метод парсинга – обработка файла XML. Данный нормализатор будет удалён из набора OOTB через релиз. В случае, если вы используете данный нормализатор необходимо перейти на использование нормализатора [OOTB] Windows Extended v 1.0.

[OOTB] Windows Extended v 1.0

Оптимизирован с уменьшением количества экстранормализаторов.  Более полные данные в событиях управления группами.

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows.

[OOTB][regexp] Continent IPS/IDS & TLS

Континент СОВ, TSL.

regexp

Предназначен для обработки событий устройств Континент IPS/IDS в файле.

[OOTB] Broadcom Symantec Endpoint Protection

События Symantec Endpoint Protection.

regexp

Предназначен для обработки событий от системы Symantec Endpoint Protection.

[OOTB] Конфидент Dallas Lock

События Dallas Lock компании Конфидент.

regexp

Предназначен для обработки событий, поступающих от системы защиты информации Dallas Lock.

[OOTB] WatchGuard Firebox

События межсетевых экранов Firebox.

syslog

Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog.

В начало
[Topic 222424]