Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JSA 支持的 DSM

JSA 可以使用称为设备支持模块 (DSM) 的插件文件从您的安全产品收集事件。

如果 DSM 配置指南中未列出您拥有的产品版本或设备,该怎么办?

有时,某个供应商产品或设备的某个版本未列为受支持。如果产品或设备未列出,请遵循以下准则:

版本未列出

如果您的产品的 DSM 受 JSA 的正式支持,但您的产品版本未在 《瞻博网络安全分析配置 DSM 指南》中列出,则您具有以下选项:

  • 试用 DSM,看看它是否工作。指南中列出的产品版本由瞻博网络测试,但较新版本的未经测试也可使用。

  • 如果您试用 DSM 但不起作用,请打开支持工单,查看日志源,以便排除故障并排除任何潜在问题。

    提示:

    在大多数情况下,不需要更改,或者可能需要对 QRadar 标识符 (QID) 映射进行轻微更新。供应商的软件更新可能会在极少数情况下添加或更改破坏 DSM 的事件格式,因此需要 RFE 来开发新集成。这是唯一需要 RFE 的场景。

设备未列出

当设备不受正式支持时,您具有以下选项:

  • 打开增强 (RFE) 请求,正式支持您的设备。

    • 转至 JSA。

    • 登录支持门户页面。

    • 单击 提交 选项卡并键入必要的信息。

      提示:

      如果设备有事件日志,请附上事件日志信息,并包括生成事件日志的设备的产品版本。

  • 编写日志源扩展,以分析设备的事件。有关更多信息,请参阅 日志源扩展

  • 您可以使用内容扩展来向某些第三方供应商提供的 JSA 发送事件。

下表列出了第三方和 JSA 解决方案支持的 DSM。

表 1:JSA 支持的 DSM

制造商

设备名称和版本

协议

录制的事件和格式

自动发现?

包括身份信息?

包括自定义属性?

3Com

8800 系列交换机 V3.01.30

Syslog

状态和网络状况事件

是的

AhnLab

AhnLab 策略中心

AhnLabPolicy

CenterJdbc

间谍软件检测

病毒检测

审计

是的

Akamai

Akamai KONA

HTTP 接收器

Akamai Kona REST API

警告规则事件

拒绝规则事件

事件格式:JSON

记录的事件类型:所有安全事件

亚马逊

Amazon AWS 应用程序负载平衡器访问日志

Amazon AWS S3 REST API

事件格式:用空格分隔的预定义字段

记录的事件类型:访问日志

是的

亚马逊

Amazon AWS 弹性 Kubernetes 服务

支持的版本:Kubernetes API 1.19

Amazon Web Services

事件格式:JSON

录制的事件类型:Amazon AWS Kubernetes

是的

亚马逊

Amazon AWS 网络防火墙

Amazon AWS S3 REST API

事件格式:JSON

记录的事件类型:防火墙警报日志、防火墙流日志

亚马逊

Amazon AWS Route 53

  • Amazon Web Services(解析器和公共 DNS 查询日志)

  • Amazon AWS S3 REST API(仅限解析器查询日志)

事件格式:

  • JSON(解析器查询日志)

  • 空格分隔的预定义字段(公共 DNS 查询日志)

记录的事件类型:事件版本 1.0

是的

亚马逊

Amazon AWS Security Hub

Amazon Web Services

事件格式:JSON

录制的事件类型:AWS 安全查找格式 (ASFF)

亚马逊

Amazon AWS WAF

Amazon AWS S3 REST API

事件格式:JSON

录制的事件类型:允许流量、流量块

亚马逊

Amazon GuardDuty

Amazon GuardDuty

Amazon GuardDuty 调查结果

Json

亚马逊

Amazon AWS CloudTrail

Amazon AWS S3 REST API

所有版本 1.0、1.02、1.03 和 1.04 事件。

安比隆

TrustWave ipAngel V4.0

Syslog

基于 Snort 的事件

Apache

HTTP 服务器 V1.3+

Syslog

HTTP 状态

是的

Apc

Ups

Syslog

Smart-UPS 系列活动

苹果

Apple Mac OS X 10.12 版

Syslog

防火墙、Web 服务器访问、Web 服务器错误、权限和信息性事件

是的

Application Security, Inc.

DbProtect V6.2、V6.3、V6.3sp1、V6.3.1 和 v6.4

Syslog

所有活动

是的

Arbor Networks

Arbor Networks Pravail APS V3.1+

系统日志、TLS 系统日志

所有活动

是的

Arbor Networks

Arbor Networks 峰值流量 SP V5.8 到 V8.12

系统日志、TLS 系统日志

拒绝服务 (DoS)

认证

利用

可疑活动

系统

是的

Arpeggio 软件

SIFT-IT V3.1+

Syslog

在 SIFT-IT 规则集中配置的所有事件

是的

阵列网络

SSL VPN 阵列SP V7.3

Syslog

所有活动

是的

是的

Aruba Networks

ClearPass 策略管理器 V6.5.0.71095 及更高版本

Syslog

LEEF

是的

是的

Aruba Networks

移动控制器 V2.5 +

Syslog

所有活动

是的

Avaya Inc.

Avaya VPN 网关 V9.0.7.2

Syslog

所有活动

是的

是的

BalaBit IT 安全

Microsoft Windows 安全事件日志 V4.x

Syslog

Microsoft 事件日志事件

是的

是的

BalaBit IT 安全

Microsoft ISA V4.x

Syslog

Microsoft 事件日志事件

是的

是的

梭子鱼网络

垃圾邮件和病毒防火墙 V5.x 及更高版本

Syslog

所有活动

是的

梭子鱼网络

Web 应用程序防火墙 V7.0.x

Syslog

系统、Web 防火墙、访问和审计事件

是的

梭子鱼网络

Web 过滤器 V6.0.x+

Syslog

Web 流量和 Web 界面事件

是的

Bit9

Carbon Black V5.1 及更高版本

Syslog

关注列表命中数

是的

Bit9

Bit9 奇偶校验

Syslog

LEEF

是的

 

Bit9

安全平台 V6.0.2 及更高版本

Syslog

所有活动

是的

是的

BlueCat Networks

Adonis V6.7.1-P2+

Syslog

DNS 和 DHCP 事件

是的

蓝色外套

SG V4.x+

系统日志日志文件协议

所有活动

是的

蓝色外套

网络安全服务

 

蓝色外套 ELFF,访问

布里奇沃特系统

AAA V8.2c1

Syslog

所有活动

是的

是的

Broadcom

CA 访问控制设施 (ACF2)(以前称为 CA Technologies ACF2)

日志文件协议

所有活动

是的

Broadcom

CA 绝密(以前称为 CA Technologies 绝密)

日志文件协议

所有活动

是的

Broadcom

赛门铁克 SiteMinder(以前称为 CA SiteMinder)

系统日志、日志文件

所有活动

是的

交换矩阵操作系统 V7.x

Syslog

系统和审计事件

是的

Centrify

Centrify 身份平台

Centrify Redrock REST API

事件格式:JSON

事件类型:SaaS、核心、内部和移动

炭黑

Carbon Black V5.1 及更高版本

Syslog

关注列表命中数

是的

炭黑

Carbon Black Bit9 奇偶校验

Syslog

LEEF

是的

炭黑

Carbon Black Bit9 安全平台 V6.0.2

Syslog

所有活动

是的

是的

Centrify

Centrify 身份平台

Centrify Redrock REST API

事件格式:JSON

事件类型:SaaS、核心、内部和移动

Centrify

2017 年 Centrify 基础架构服务

系统日志和 WinCollect

WinCollect 日志、审计事件

是的

检查点

检查点版本 NG、FP1、FP2、FP3、AI R54、AI R55、R65、R70、R77、R80、NGX 和 R75

系统日志或 OPSEC LEA

所有活动

是的

是的

是的

检查点

VPN-1 版本 NG、FP1、FP2、FP3、AI R54、AI R55、R65、R70、R77 NGX

系统日志或 OPSEC LEA

所有活动

是的

是的

检查点

检查点多域管理(提供商-1)版本 NG、FP1、FP2、FP3、AI R54、AI R55、R65、R70、R77、NGX

系统日志或 OPSEC LEA

所有活动

是的

是的

Cilasoft

Cilasoft QJRN/400 V5.14.K+

Syslog

IBM 审计事件

是的

是的

思科

4400 系列无线 LAN 控制器 V7.2

系统日志或 SNMPv2

所有活动

思科

Cisco CallManager 8.x,11.5

Syslog

应用程序事件

是的

思科

ACS V4.1 及更高版本(直接来自 ACS V3.x)及更高版本(如果使用 ALE)

Syslog

失败的访问尝试

是的

是的

思科

Aironet V4.x+

Syslog

Cisco 标志格式

是的

思科

ACE 防火墙 V12.2

Syslog

所有活动

是的

是的

思科

Cisco AMP

Cisco AMP

所有安全事件

注意:

网络流量仅支持数据流控制 (DCF) 事件。

思科

ASA V7.x 及更高版本

Syslog

所有活动

是的

是的

思科

ASA V7.x+

NSEL 协议

所有活动

思科

CSA V4.x、V5.x 和 V6.x

系统日志 SNMPv1 SNMPv2

所有活动

是的

是的

思科

用于催化剂系统 V7.3+ 的 CatOS

Syslog

所有活动

是的

是的

思科

云 Web 安全 (CWS)

Amazon AWS S3 REST API

W3c

所有 Web 使用日志

思科

Cisco Stealthwatch V6.8

Syslog

活动格式:LEEF

事件类型:异常、数据囤积、漏洞利用、高关注度、索引、高 DDoS 源指数、高目标指数、违反策略、侦察、高 DDoS 目标索引、数据泄露、C&C

是的

思科

IPS V7.1.10 及更高版本、V7.2.x、V7.3.x

SDEE

所有活动

思科

Cisco IronPort V5.5、V6.5、V7.1、V7.5(增加对访问日志的支持)

Cisco IronPort 电竞中心:V10.0

Cisco IronPort WSA:V10.0

系统日志、日志文件协议

活动格式:所有事件

录制的事件类型:

邮件(系统日志)

系统(系统日志)

访问(系统日志)

Web 内容过滤(日志文件)

思科

IronPort V5.5、V6.5、V7.1 和 V7.5

系统日志、日志文件协议

所有活动

思科

FireSIGHT 管理中心 V4.8.0.2 至 V6.0.0

(以前称为源火防御中心)

FireSIGHT 管理中心

入侵事件和额外数据

关联事件

元数据事件

探索事件

举办活动

用户事件

恶意软件事件

文件事件

思科

Cisco Firepower 管理中心 V5.2 至 V6.4

(以前称为 Cisco FireSIGHT 管理中心)

Cisco Firepower eStreamer 协议

探索事件

关联和白名单事件

影响标志警报

用户活动

恶意软件事件

文件事件

连接事件

入侵事件

入侵事件数据包数据

不信任事件额外数据

思科

Cisco Firepower 威胁防御

Syslog

事件格式:Syslog、逗号分隔值 (CSV)、名称-值对 (NVP)

记录的事件类型:入侵、连接

是的

是的

思科

Cisco 防火墙服务模块 (FWSM) v2.1+

Syslog

所有活动

是的

是的

是的

思科

Cisco Catalyst 交换机 IOS,12.2,12.5+

Syslog

所有活动

是的

是的

思科

Cisco Meraki

Syslog

事件格式:系统日志

事件类型:

事件

security_event_ids_alerted

思科

Cisco NAC 设备 v4.x +

Syslog

审计、错误、故障、隔离和受感染事件

思科

Cisco Nexus v6.x

Syslog

Nexus-OS 事件

是的

思科

Cisco PIX 防火墙 v5.x、v6.3+

Syslog

Cisco PIX 事件

是的

是的

是的

思科

Cisco 身份服务引擎 V1.1 至 V2.2

UDP 多线路系统日志

事件格式:系统日志

事件类型:设备事件

是的

思科

Cisco IOS 12.2、12.5+

Syslog

所有活动

是的

是的

思科

Cisco 总览

Amazon AWS S3 REST API

事件格式:Cisco 总览式 CSV

事件类型:审计

思科

Cisco VPN 3000 集中器版本 VPN 3005、4.1.7.H

Syslog

所有活动

是的

是的

是的

思科

Cisco 无线服务模块 (WiSM) v 5.1+

Syslog

所有活动

是的

Citrix

Citrix NetScaler V9.3 至 V10.0

Syslog

所有活动

是的

是的

Citrix

Citrix 接入网关 V4.5

Syslog

访问、审计和诊断事件

是的

Cloudera

Cloudera Navigator

Syslog

HDFS、HBase、Hive、Hue、Cloudera Impala、Sentry 的审计事件

是的

Cloudflare

Cloudflare 日志

Amazon AWS S3 REST API

HTTP 接收器

事件格式:JSON

事件类型:HTTP 事件、防火墙事件

是的

CloudPassage

CloudPassage Halo

系统日志、日志文件

所有活动

是的

CrowdStrike

众击猎鹰

Syslog

LEEF

事件摘要,检测摘要,身份验证,检测状态更新,上传的 IoC,网络控制,IP 白名单,策略管理,CrowdStrike 存储,猎鹰防火墙管理,实时响应,事件流

是的

CorreLog

IBMz/OS 的 CorreLog 代理

系统日志 LEEF

所有活动

是的

加密卡

加密盾 V6.3

Syslog

所有活动

CyberArk

CyberArk 特权威胁分析 V3.1

Syslog

检测到的安全事件

是的

CyberArk

CyberArk Vault V6.x

Syslog

所有活动

是的

是的

CyberGuard

防火墙/VPN KS1000 V5.1

Syslog

CyberGuard 活动

是的

丹巴拉

故障保护 V5.0.2+

Syslog

所有活动

是的

数字化中国网络

DCS 和 DCRS 系列交换机 V1.8.7

Syslog

DCS 和 DCRS IPv4 事件

DG Technology

DG Technology MEAS

LEEF 系统日志

主机事件

是的

Eset

ESET 远程管理员 V6.4.270

Syslog

LEEF

威胁事件

防火墙聚合事件

HIPS 聚合事件

审计事件

是的

极端

Dragon V5.0、V6.x、V7.1、V7.2、V7.3 和 V7.4

系统日志 SNMPv1 SNMPv3

所有相关“极端龙”活动

是的

极端

800 系列交换机

Syslog

所有活动

是的

极端

Matrix 路由器 V3.5

系统日志 SNMPv1 SNMPv2 SNMPv3

SNMP 和 syslog 登录、退出和登录失败事件

是的

极端

NetSight 自动安全管理器 V3.1.2

Syslog

所有活动

是的

极端

Matrix N/K/S 系列交换机 V6.x、V7.x

Syslog

所有相关 Matrix K 系列、N 系列和 S 系列设备事件

是的

极端

可堆叠和独立交换机

Syslog

所有活动

是的

是的

极端

XSR 安全路由器 V7.6.14.0002

Syslog

所有活动

是的

极端

HiGuard Wireless IPS 2R2.0.30

Syslog

所有活动

是的

极端

HiPath 无线控制器 2R2.0.30

Syslog

所有活动

是的

极端

NAC 3.2 和 3.3

Syslog

所有活动

是的

企业 IT-Security.com

SF-Sherlock 8.1 及更高版本

LEEF

All_Checks、DB2_Security_Configuration、JES_Configuration、Job_Entry_System_Attack、Network_Parameter、Network_Security、No_Policy、Resource_Access_Viol、Resource_Allocation、Resource_Protection、Running_System_Change、Running_System_Security、Running_System_Status、Security_Dbase_Scan、Security_Dbase_Specialty、Security_Dbase_Status、Security_Parm_Change、Security_System_Attack、Security_System_Software、Security_System_Status、SF-Sherlock、Sherlock_Diverse、 Sherlock_Diverse、Sherlock_Information、Sherlock_Specialties、Storage_Management、Subsystem_Scan、Sysplex_Security、Sysplex_Status、System_Catalog、System_File_Change、System_File_Security、System_File_Specialty、System_Log_Monitoring、System_Module_Security、System_Process_Security、System_Residence、System_Tampering、System_Volumes、TSO_Status、UNIX_OMVS_Security、UNIX_OMVS_System、User_Defined_Monitoring、xx_Resource_Prot_Templ

是的

史诗

Epic SIEM,版本 Epic 2014、Epic 2015 和 Epic 2017

LEEF

审计、身份验证

是的

是的

Exabeam

Exabeam 1.7 和 2.0

不适用

严重、异常

是的

Extreme Networks

Extreme Ware 7.7 和 XOS 12.4.1.x

Syslog

所有活动

是的

F5 网络

F5 Networks BIG-IP AFM 11.3 和 12.x 到 14.x

Syslog

网络、网络 DoS、协议安全、DNS 和 DNS DoS 事件

是的

F5 网络

F5 网络 BIG-IP LTM 9.42 至 14.x

系统日志、CSV

所有活动

是的

F5 网络

F5 网络 BIG-IP ASM 10.1 至 14.x

Syslog

事件格式:CEF (CEF:0)支持)

记录的事件类型:所有安全事件

是的

F5 网络

F5 Networks BIG-IP APM 10.x 至 14.x

Syslog

所有活动

是的

F5 网络

FirePass 7.0

Syslog

所有活动

是的

是的

公平警告

公平警告 2.9.2

日志文件协议

所有活动

法索

法索企业 DRM 5.0

Jdbc

NVP 事件格式

使用事件

Fidelis 安全系统

菲德利斯 XPS 7.3.x

Syslog

警报事件

是的

FireEye

FireEye CMS、MPS、EX、AX、NX、FX 和 HX

系统日志、TLS 系统日志

所有相关活动

通用事件格式 (CEF) 格式化的消息

日志事件扩展格式 (LEEF)

是的

FreeRADIUS

FreeRADIUS 2.x

Syslog

所有活动

是的

是的

Forcepoint

Forcepoint Sidewinder 6.1

(以前称为 McAfee Firewall Enterprise 6.1)

Syslog

Forcepoint Sidewinder 审计事件

是的

Forcepoint

Stonesoft 管理中心 5.4 至 6.1

Stonesoft 管理中心 V5.4 至 6.1

活动格式:LEEF

事件类型:管理中心、IPS、防火墙和 VPN 事件

是的

Forcepoint

(以前称为 Websense)

TRITON 7.7 和 8.2

Syslog

所有活动

是的

Forcepoint

(以前称为 Websense)

V 系列数据安全套件 (DSS) 7.1x

Syslog

所有活动

是的

是的

是的

Forcepoint

(以前称为 Websense)

V 系列内容网关 V7.1x

日志文件协议

所有活动

ForeScout

CounterACT 7.x 及更高版本

Syslog

拒绝服务、系统、漏洞、身份验证和可疑事件

Fortinet

Fortinet FortiGate 安全网关 FortiOS 6.4 及更早版本

Syslog

系统日志重定向

所有活动

是的

是的

是的

铸造

FastIron 3.x.x 和 4.x.x

Syslog

所有活动

是的

是的

genua

genugate 8.2+

Syslog

常规错误消息

高可用性

常规中继消息

中继特定消息

genua 程序/守护程序

EPSI 计费守护程序 - gg/src/acctd

Configfw FWConfig

ROFW 配置

用户界面

Web 服务器

是的

是的

谷歌

Google Cloud Platform Firewall

Google Cloud 发布/订阅

事件格式:JSON

事件类型:防火墙允许、防火墙拒绝

谷歌

Google G Suite 活动报告

Google G Suite 活动报告 REST API

事件格式:JSON

记录的事件类型:管理员、驱动器、登录、用户帐户

大湾

灯塔

Syslog

所有活动

是的

是的

H3C 技术

H3C Comware 平台、H3C 交换机、H3C 路由器、H3C 无线 LAN 设备和 H3C IP 安全设备

支持版本 7

Syslog

NVP

系统

HBGary

主动防御 1.2 及更高版本

Syslog

所有活动

是的

惠普企业

HPE 网络自动化 10.11

Syslog

LEEF

所有操作和配置网络事件。

是的

是的

惠普企业

HPE ProCurve K.14.52

Syslog

所有活动

是的

惠普企业

HPE 串联

日志文件协议

安全保护审计文件事件

惠普企业

HPE UX V11.x 及更高版本

Syslog

所有活动

是的

Honeycomb Technologies

Lexicon 文件完整性监控网状服务 V3.1 及更高版本

Syslog

完整性事件

是的

华为

使用 V200R001C00 的 S 系列交换机 S5700、S7700 和 S9700

Syslog

来自 S5700、S7700 和 S9700 交换机的 IPv4 事件

华为

AR 系列路由器(使用 V200R002C00 的 AR150、AR200、AR1200、AR2200 和 AR3200 路由器)

Syslog

IPv4 事件

Ibm

IBM AIX V6.1 和 V7.1

系统日志、日志文件协议

配置的审计事件

是的

Ibm

IBM AIX 5.x、6.x 和 v7.x

Syslog

身份验证和操作系统事件

是的

是的

Ibm

IBM BigFixV8.2.x 至 9.5.2

(以前称为 Tivoli EndPoint 管理器)

IBM BigFix SOAP 协议

服务器事件

Ibm

IBM BigFix 检测

注意:

IBM BigFix 检测 JSA 的 DSM 已弃用。

         

Ibm

IBM Bluemix Platform(现在称为 IBM Cloud Platform)

         
Ibm IBM Cloud 活动跟踪器 Apache Kafka 协议 事件格式:JSON 是的
Ibm IBM Cloud Identity(现在称为 IBM Security Verify)          
Ibm IBM Cloud Platform(以前称为 IBM Bluemix Platform) 系统日志、TLS 系统日志 所有系统 (Cloud Foundry) 事件,一些应用程序事件 是的

Ibm

IBM DLC 指标

系统日志,转发

活动格式:LEEF

录制的事件类型:所有 DLC 指标事件类型

是的

Ibm

IBM Federated Directory 服务器 V7.2.0.2 及更高版本

LEEF

FDS 审计

是的

Ibm

IBM Guardium 8.2p45

Syslog

策略生成器事件

Ibm

IBM i DSM V5R4 及更高版本

(以前称为 AS/400i 系列)

日志文件协议

事件格式:CEF (CEF:0)支持)

记录的事件类型:所有安全事件

是的

Ibm

IBM i - Robert Townsend Security Solutions V5R1 及更高版本

(以前称为 AS/400i 系列)

Syslog

事件格式:CEF (CEF:0)支持)

是的

是的

Ibm

IBM i - Powertech Interact V5R1 及更高版本

(以前称为 AS/400i 系列)

Syslog

事件格式:CEF (CEF:0)支持)

是的

是的

Ibm

IBM ISS Proventia M10 v2.1_2004.1122_15.13.53

Snmp

所有活动

Ibm

IBM Lotus Domino v8.5

Snmp

所有活动

Ibm

IBM Proventia Management SiteProtector v2.0 和 v2.9

Jdbc

IPS 和审计事件

Ibm

IBM RACF v1.9 至 v1.13

日志文件协议

所有活动

是的

Ibm

IBM CICS v3.1 至 v4.2

日志文件协议

所有活动

是的

Ibm

IBM DB2 v8.1 至 v10.1

日志文件协议

所有活动

是的

Ibm

IBM DataPower 固件V6 和 V7

(以前称为 WebSphere DataPower)

Syslog

所有活动

是的

Ibm

IBM MaaS360 安全

(以前称为 IBM Fiberlink MaaS360)

LEEF

合规性规则事件

设备注册事件

操作历史事件

是的

Ibm

IBM JSA 数据包捕获

IBM JSA 数据包捕获 2014.3 至 2014.8

系统日志、LEEF

所有活动

是的

Ibm

IBM SAN 量控制器

Syslog

CADF 事件格式

是的

Ibm

IBM z/OS v1.9 至 v1.13

日志文件协议

所有活动

是的

Ibm

IBM Informix v11

日志文件协议

所有活动

Ibm

IBM IMS

日志文件协议

所有活动

Ibm

安全身份治理 (ISIG)

Jdbc

NVP 事件格式

审计事件类型

Ibm

安全网络保护 (XGS) v5.0,修复包 7 到 v5.4

Syslog

系统、访问和安全事件

是的

Ibm

安全网络 IPS v4.6 及更高版本

Syslog

安全、运行状况和系统事件

是的

Ibm

安全身份管理器 6.0.x 及更高版本

Jdbc

审核和再认证事件

是的

Ibm

IBM Security 受托人

HTTP 接收器

事件格式:JSON

事件类型:受托人警报

是的

Ibm

IBM Security 受托人 Apex 高级恶意软件防御

系统日志/LEEF

日志文件协议

恶意软件检测

漏洞检测

数据外泄检测

Java 锁定事件

文件检查事件

Apex 停止事件

Apex 已卸载事件

策略更改事件

ASLR 违规事件

ASLR 实施事件

密码保护事件

是的

是的

Ibm

IBM Sense v1

Syslog

LEEF

是的

Ibm

IBM SmartCloud Orchestrator v2.3 FP1 及更高版本

IBM SmartCloud 编排器 REST API

审计记录

是的

Ibm

IBM Security 验证

(以前称为 IBM Cloud Identity)

Json

身份验证、SSO、管理

是的

是的

Ibm

Tivoli Access Manager IBM Web Security 网关 v7.x

Syslog

审计、访问和 HTTP 事件

是的

是的

Ibm

Tivoli Endpoint Manager v8.2.x 及更高版本

IBM Tivoli 端点管理器 SOAP 协议

服务器事件

是的

Ibm

WebSphere 应用程序服务器 v5.0 到 v8.5

日志文件协议

所有活动

是的

Ibm

WebSphere DataPower

(现在称为 DataPower)

WebSphere DataPower

         

Ibm

zSecure 警报 v1.13.x 及更高版本

UNIX 系统日志

警报事件

是的

是的

Ibm

Security Directory v6.3.1 及更高版本

系统日志 LEEF

所有活动

是的

是的

伊鲁穆尼奥

Illumio 自适应安全平台

Syslog

LEEF

审计

交通

是的

Imperva

Incapsula

LEEF

访问事件和安全警报

是的

Imperva

SecureSphere v6.2 和 v7.x 版本企业版 (Syslog)

SecureSphere v9.5 到 v11.5 (LEEF)

Syslog

LEEF

防火墙策略事件

是的

Infoblox NIOS

Infoblox NIOS 6.x 到 8.x

Syslog

ISC 盲区

Linux DHCP

Linux 服务器

Apache

是的

互联网系统联盟 (ISC)

ISC BIND 9.9、9.11、9.12

Syslog

所有活动

是的

交汇联盟

SNARE 企业 Windows 代理

Syslog

Microsoft 事件日志

是的

是的

IT-CUBE

agileSI 1.x

中小型企业尾部

AgileSI SAP 事件

是的

Itron

Openway Smart Meter

Syslog

所有活动

是的

瞻博网络

AVT

Jdbc

所有活动

是的

瞻博网络

DDoS Secure

瞻博网络 DDoS Secure 现在被称为 NCC Group DDoS Secure。

Syslog

所有活动

是的

瞻博网络

Dx

瞻博网络 DX 平台产品已终止生命周期 (EOL),瞻博网络不再提供支持。

Syslog

状态和网络状况事件

是的

是的

瞻博网络

Infranet 控制器

适用于 JSA 的瞻博网络 Infranet 控制器 DSM 现在被称为 Pulse Secure Infranet 控制器。

         

瞻博网络

防火墙和 VPN v5.5r3 及更高版本

Syslog

瞻博网络防火墙活动

是的

是的

是的

瞻博网络

Junos OS WebApp Secure v4.2.x

Syslog

事件和访问事件

是的

瞻博网络

IDP v4.0、v4.1 & v5.0

Syslog

瞻博网络 IDP 活动

是的

是的

瞻博网络

网络和安全管理器 (NSM) 和瞻博网络 SSG v2007.1r2 至 2007.2r2、2008.r1、2009r1.1、2010.x

Syslog

瞻博网络 NSM 活动

是的

是的

瞻博网络

Junos OS 7.x 至 10.x Ex 系列

以太网交换机 DSM 仅支持 9.0 到 10.x

系统日志或 PCAP 系统日志***

所有活动

是的**

是的

是的

瞻博网络

安全接入 RA

瞻博网络安全接入现在被称为 Pulse Secure Pulse Connect Secure。

         

瞻博网络

瞻博网络安全二进制日志收集器

12.1 或更高版本的 SRX 或 J 系列设备

二 进 制

审计、系统、防火墙和 IPS 事件

是的

瞻博网络

Steel-Belted Radius 5.x 及更高版本

Syslog

所有活动

是的

是的

是的

瞻博网络

vGW 虚拟网关 4.5

瞻博网络 vGW 虚拟网关产品已终止生命周期 (EOL),瞻博网络不再提供支持。

Syslog

防火墙、管理员、策略和 IDS 日志事件

是的

瞻博网络

无线 LAN 控制器

具有移动系统软件 (MSS) V7.6 及更高版本的无线 LAN 设备

Syslog

所有活动

是的

卡巴斯基

安全中心 9.2 及更高版本

JDBC、LEEF

防病毒、服务器和审计事件

是的

卡巴斯基

Kaspersky CyberTrace

Syslog

检测、状态、评估

是的

Kubernetes

Kubernetes 审计

支持的版本:Kubernetes API 1.16

Syslog

事件格式:JSON

事件类型:RequestReceived、ResponseStarted、ResponseComplete

是的

是的

Kisco

Kisco 信息系统 SafeNet/i 10.11

日志文件

所有活动

最后一行

最后一行企业 6.0

LEEF

反恶意软件

是的

利伯曼

随机密码管理器 4.8x

Syslog

所有活动

是的

LightCyber

LightCyber Magna 3.9

系统日志、LEEF

C&C、泄露、横向、恶意软件和侦察

是的

Linux

开源 Linux OS 2.4 及更高版本

Syslog

操作系统事件

是的

是的

Linux

DHCP 服务器 2.4 及更高版本

Syslog

来自 DHCP 服务器的所有事件

是的

是的

Linux

IPtables 内核 2.4 及更高版本

Syslog

接受、丢弃或拒绝事件

是的

Mcafee

McAfee 应用程序 /变更控制 v4.5.x

Jdbc

变更管理事件

是的

Mcafee

McAfee 电子策略编排器 3.5 到 5.10

JDBC:3.5 到 5.9

SNMPv1、SNMPv2、SNMPv3:3.5 到 5.9

TLS 系统日志:5.10

防病毒事件

Mcafee

McAfee MVISION 云 2.4 和 3.3(以前称为 Skyhigh Networks 云安全平台)

Syslog

事件格式:

日志事件扩展格式 (LEEF)

录制的事件类型:

权限访问、内部威胁、遭到入侵的帐户、访问、管理、数据、策略和审计

是的

Mcafee

McAfee 网络安全平台 2.x - 5.x

以前称为 McAfee Intrushield)

Syslog

警报通知事件

是的

Mcafee

McAfee 网络安全平台 6.x - 7.x 和 8.x - 10.x

以前称为 McAfee Intrushield)

Syslog

警报和故障通知事件

是的

Mcafee

McAfee Web 6.0.0 及更高版本

系统日志、日志文件协议

所有活动

是的

MetaInfo

MetaIP 5.7.00-6059 及更高版本

Syslog

所有活动

是的

是的

微软 Microsoft 365 Defender
注意:

Microsoft Windows Defender ATP DSM 现在是 Microsoft 365 Defender DSM。DSM RPM 名称仍为 JSA 中的 Microsoft Windows Defender ATP。

用于端点 SIEM REST API 的 Microsoft Defender

Microsoft Azure 事件中心

事件格式:JSON

Microsoft 365 Defender DSM 在您使用 Microsoft Azure 事件中心协议时支持以下事件:

警报(仅面向端点的 Microsoft Defender 支持警报)::

  • 警报信息
  • 警报警报

装置:

  • 设备信息
  • DeviceNetworkInfo
  • 设备流程事件
  • 设备网络事件
  • 设备文件事件
  • 设备注册事件
  • 设备日志事件
  • 设备事件
  • 设备文件证书信息
  • 设备文件证书信息

电子邮件:

  • 电子邮件事件
  • 电子邮件连接信息
  • 电子邮件邮件传递事件
  • EmailUrlInfo

当您使用 Microsoft Defender for Endpoint REST API 协议时,Microsoft 365 Defender DSM 支持以下事件:

  • Windows Defender ATP
  • Windows 防御者防病毒
  • 第三方 TI
  • 客户 TI
  • Bitdefender
是的 是的

微软

Microsoft Azure Active Directory

Microsoft Azure 事件中心

事件格式:JSON

录制的事件类型:

登录日志、审计日志

是的

微软

Microsoft Azure 平台

Microsoft Azure 事件中心

事件格式:JSON

记录的事件类型:平台级活动日志

是的

注意:

此 DSM 会自动发现从活动日志直接转发到事件中心的活动日志事件。

微软

Microsoft Azure 安全中心

Microsoft 图形安全 API

事件格式:JSON

记录的事件类型:安全警报

微软

DNS 调试

支持的版本:

Windows Server 2016、Windows Server 2012 R2、Windows Server 2008 R2

WinCollect Microsoft DNS 调试

LEEF

是的

是的

微软

CNC 6.0、7.0 和 8.x

系统日志和 Wincollect

HTTP 状态代码事件

是的

微软

互联网和加速 (ISA) 服务器或威胁管理网关 2006

系统日志和 Wincollect

ISA 或 TMG 事件

是的

微软

Exchange 服务器 2003、2007、2010、2013 和 2016

Windows Exchange 协议

Outlook Web 访问事件 (OWA)

简单邮件传输协议事件 (SMTP)

消息跟踪协议事件 (MSGTRK)

微软

端点保护 2012

Jdbc

恶意软件检测事件

微软

Hyper V

支持的版本:

Windows 服务器 2016

Windows Server 2012(最新)

Windows Server 2012 Core

Windows Server 2008(最新版)

Windows Server 2008 Core

Windows 10(最新版)

Windows 8(最新版)

Windows 7(最新版)

Windows Vista(最新)

WinCollect

所有活动

微软

IAS 服务器

v2000、2003 和 2008

Syslog

所有活动

是的

微软

Microsoft Office 365

Office 365 REST API

Json

微软

Microsoft Office 365 消息跟踪

Office 365 消息追踪 REST API

事件格式:JSON

事件类型:电子邮件安全威胁分类

微软

Microsoft Windows Defender ATP

Microsoft Defender for Endpoint REST API

事件格式:JSON

事件类型:

Windows Defender ATP

Windows 防御者防病毒

第三方 TI

客户 TI

Bitdefender

微软

Microsoft Windows 事件日志 v2000、2003、2008、XP、Vista 和 Windows 7(支持 32 位或 64 位系统)

支持的版本:

Windows 服务器 2016

Windows Server 2012(最新)

Windows Server 2012 Core

Windows Server 2008(最新版)

Windows 10(最新版)

Windows 8(最新版)

Windows 7(最新版)

Windows Vista(最新)

Syslog

转发

TLS 系统日志

TCP 多行系统日志

Windows 事件日志 (WMI)

Windows 事件日志自定义 (WMI)

MSRPC

WinCollect

Wincollect NetApp 数据 ONTAP

所有活动,包括 Sysmon winlogbeats.json

是的

是的

是的

微软

SQL Server 2008、2012、2014(仅限企业版)和 2016

系统日志、JDBC 和 Wincollect

SQL 审计事件

微软

SharePoint 2010 和 2013

Jdbc

SharePoint 审核、站点和文件事件

微软

DHCP 服务器 2000/2003

系统日志和 Wincollect

所有活动

是的

是的

微软

2005 年运维经理

Jdbc

所有活动

微软

2007 年系统中心运维经理

Jdbc

所有活动

摩托罗拉

符号接入点固件 1.1 到 2.1

Syslog

所有活动

NCC Group

NCC 组 DDos 5.13.1-2s 至 516.1-0

Syslog

活动格式:LEEF

事件类型:所有事件

是的

尼亚拉

尼亚拉 1.6

Syslog

安全

系统

内部活动

外泄

外泄

命令与控制

是的

是的

NetApp

数据 ONTAP

Wincollect NetApp 数据 ONTAP

CIFS 事件

是的

是的

Netgate

Netgate pfSense

Syslog

系统

防火墙

Dns

DHCP(当您使用 Linux DHCP DSM 时)

是的

是的

Netskope

Netskope Active

Netskope 主动 REST API

警报,所有事件

是的

Nginx

NGINX HTTP 服务器 1.15.5

Syslog

系统日志、标准系统日志

是的

尼克松

NetVCR 2005 v3.x

Syslog

Niksun 活动

诺基亚

防火墙 NG FP1、FP2、FP3、AI R54、AI R55、IPSO v3.8 及更高版本上的 NGX

系统日志或 OPSEC LEA

所有活动

是的

是的

诺基亚

VPN-1 NG FP1、FP2、FP3、AI R54、AI R55、IPSO v3.8 及更高版本上的 NGX

系统日志或 OPSEC LEA

所有活动

是的

是的

提名

注意:

用于 JSA 的被提名 Vantio DSM 已弃用

Vantio v5.3

Syslog

所有活动

是的

Nortel

连接性

Syslog

所有活动

是的

Nortel

应用程序交换机 v3.2 及更高版本

Syslog

状态和网络状况事件

是的

Nortel

ARN v15.5

Syslog

所有活动

是的

Nortel*

以太网路由交换机 2500 v4.1

Syslog

所有活动

是的

Nortel*

以太网路由交换机 4500 v5.1

Syslog

所有活动

是的

Nortel*

以太网路由交换机 5500 v5.1

Syslog

所有活动

是的

Nortel

以太网路由交换机 8300 v4.1

Syslog

所有活动

是的

Nortel

以太网路由交换机 8600 v5.0

Syslog

所有活动

是的

Nortel

VPN 网关 v6.0、7.0.1 及更高版本、v8.x

Syslog

所有活动

是的

是的

Nortel

安全路由器 v9.3、v10.1

Syslog

所有活动

是的

是的

Nortel

安全网络接入交换机 v1.6 和 v2.0

Syslog

所有活动

是的

是的

Nortel

交换式防火墙 5100 v2.4

系统日志或 OPSEC

所有活动

是的

是的

Nortel

交换式防火墙 6000 v4.2

系统日志或 OPSEC

所有活动

是的

是的

Nortel

威胁防御系统 v4.6 和 v4.7

Syslog

所有活动

Novell

eDirectory v2.7

Syslog

所有活动

是的

观察IT

观察IT 5.7.x 及更高版本

Jdbc

警报

用户活动

系统事件

会话活动

DBA 活动

是的

Okta

Okta 身份管理

Okta REST API

Json

是的

Onapsis

Onapsis 安全平台 v1.5.8 及更高版本

日志事件扩展格式 (LEEF)

评估

攻击签名

相关

合 规

是的

OpenBSD 项目

OpenBSD v4.2 及更高版本

Syslog

所有活动

是的

开放信息安全基金会 (OISF) Suratica v6.0.3 及更低版本

Syslog

TLS 系统日志

事件格式:JSON

记录的事件类型:警报

是的

开放 LDAP 基础

开放式 LDAP 2.4.x

UDP 多线路系统日志

所有活动

开源

SNORT v2.x

Syslog

所有活动

是的

OpenStack

OpenStack v2015.1

HTTP Reciever

审计事件

甲骨文

Oracle RDBMS 审计记录版本 9i、10g、

11g、12c(包括统一审计)

系统日志 JDBC

事件格式:名称-值对

记录的事件类型:审计记录

是的

甲骨文

审计保管库 v10.2.3.2 和 V12.2

Jdbc

AVSYS 中的所有审计记录。AV$ALERT_STORE 表,适用于 V10.3,或从自定义 AVSYS。V12.2 的AV_ALERT_STORE_V视图。

是的

甲骨文

Oracle OS Audit 9i、10g 和 11g

Syslog

事件格式:名称-值对 (NVP)

事件类型:Oracle 事件

是的

是的

甲骨文

Oracle BEA WebLogic 12.2.1.3.0

日志文件

甲骨文活动

甲骨文

Oracle 数据库侦听器 9i、10g 和 11g

Syslog

甲骨文活动

是的

甲骨文

Oracle 目录服务器

(以前称为 Sun ONE LDAP)。

甲骨文

Oracle 细粒度审计 9i 和 10g

Jdbc

为使用策略配置的表选择、插入、删除或更新事件

不适用

操作系统 3.3.2

Syslog

TCP 多行系统日志

事件格式:JSON

事件类型:访问审核身份验证系统

是的

OSSEC

OSSEC 2.6 及更高版本

Syslog

所有相关

是的

Palo Alto Networks

帕洛阿尔托 PA 系列

Syslog

TLS 系统日志

事件类型:

交通

威胁

配置

系统

HIP 匹配

认证

隧道检测

相关

Sctp

文件数据

GTP

HIP 匹配

IP 标记

全局保护 -

注意:

要使用此日志类型,必须在 Palo Alto PA 系列设备上启用 EventStatus 字段。

解密

事件格式:

用于 PAN-OS v3.0 到 v10.1 的 LEEF 和 Prisma Access v2.1

PAN-OS v4.0 至 v6.1 的 CEF (CEF:0)支持)

是的

是的

Palo Alto Networks

Palo Alto 端点安全管理器 3.4.2.17401

Syslog

代理

配置

政策

政策

威胁

事件格式:CEF (CEF:0)),LEEF

是的

皮伦

接入:一个 2.2 和 DB2 9.7

Jdbc

访问管理和身份验证事件

后缀

邮件传输代理 2.6.6 及更高版本

UDP 多线协议或系统日志

邮件事件

ProFTPd

ProFTPd 1.2.x、1.3.x

Syslog

所有活动

是的

是的

证据点

Proofpoint 企业保护和企业隐私版本 7.0.2、7.1 或 7.2

Syslog

系统、电子邮件审计、电子邮件加密和电子邮件安全威胁分类事件

Pulse Secure

Pulse Secure Infranet 控制器 2.1、3.1 和 4.0

Syslog

所有活动

是的

是的

Pulse Secure

Pulse Secure Pulse Connect Secure 8.2R5

Syslog

TLS 系统日志

事件格式:

管理员、身份验证、系统、网络、错误

事件类型:

所有活动

是的

是的

是的

Radware

AppWall 6.5.2 和 8.2

Syslog

事件格式:Vision Log

录制的事件类型:

管理

审计

学习

安全

系统

是的

Radware

DefensePro 4.23、5.01、6.x 和 7.x

Syslog

所有活动

是的

Raz-Lee iSecurity

AS/400 i系列防火墙 15.7 和审计 11.7

Syslog

安全合规性、防火墙和审计事件

是的

是的

Redback Networks

ASE 6.1.5

Syslog

所有活动

是的

解决方案1

解决方案 1 网络安全

以前称为 AccessData InSight

解决方案 1 网络安全。

日志文件

易失数据、内存分析数据、内存获取数据、收集数据、软件库存、流程转储数据、威胁扫描数据、代理修复数据

河床

SteelCentral NetProfiler

Jdbc

警报事件

河床

SteelCentral NetProfiler 审计

日志文件协议

审计事件

是的

Rsa

身份验证管理器 6.x、7.x 和 8.x

v6.x 和 v7.x 使用系统日志或日志文件协议

v8.x 仅使用系统日志

所有活动

SafeNet

DataSecure 6.3.0 及更高版本

Syslog

所有活动

是的

Salesforce

安全审计

日志文件

设置审计记录

Salesforce

安全监控

Salesforce REST API 协议

登录历史记录

帐户历史记录

案例历史记录

授权历史记录

服务合同历史记录

合同行项目历史记录

合同历史

联系历史

潜在客户历史

机会历史

解决方案历史

是的

Samhain Labs

HIDS 2.4

Syslog

Jdbc

所有活动

是的

Sap

SAP 企业威胁检测 sp6

SAP 企业威胁检测警报 API

LEEF

安全隔离

Seculert v1

Seculert Protection REST API 协议

所有恶意软件通信事件

安全隔离

安全隔离

Seculert 保护 REST API Protoco

所有恶意软件通信事件

Sentrigo

刺猪 2.5.3

Syslog

所有活动

是的

Skyhigh Networks

(现在称为 McAfee)

Skyhigh Networks 云安全平台 2.4 和 3.3

(现在称为 McAfee MVISION 云 2.4 和 3.3)

         

SolarWinds

SolarWinds Orion 2011.2

Syslog

所有活动

是的

SonicWALL

UTM/防火墙/VPN 设备 3.x 及更高版本

Syslog

所有活动

是的

Sophos

Sophos Astaro 安全网关 17.x

Syslog

所有活动

是的

Sophos

Sophos 企业控制台 4.5.1 和 5.1

Sophos 企业控制台协议

Jdbc

所有活动

Sophos

Sophos PureMessage 3.1.0.0 及更高版本,适用于 Linux 的 Microsoft Exchange 5.6.0

Jdbc

隔离的电子邮件事件

Sophos

Sophos Web Security 设备 3.x

Syslog

事件日志事件

是的

源火

源火入侵传感器是 500、2.x、3.x、4.x

Syslog

所有活动

是的

源火

源火防御中心

(现在称为 Cisco FireSIGHT 管理中心)

源火防御中心

所有活动

斯普伦克

Microsoft Windows 安全事件日志

Splunk 转发器提供的基于 Windows 的事件

所有活动

是的

鱿鱼

Squid Web 代理 2.5 及更高版本

Syslog

所有缓存和访问日志事件

是的

入门网络

入门网络

Syslog

所有活动

是的

STEALTHbits Technologies

STEALTHbits 文件活动监视器

系统日志 LEEF

文件活动监控事件

     

STEALTHbits Technologies

StealthIntercept

系统日志 LEEF

Active Directory 审计事件

是的

STEALTHbits Technologies

StealtBits StealthIntercept 警报

系统日志 LEEF

Active Directory 警报事件

是的

STEALTHbits Technologies

STEALTHbits StealthINTERCEPT Analytics

系统日志 LEEF

Active Directory Analytics 事件

是的

斯通软件

管理中心 v5.4

Syslog

管理中心、IPS、防火墙和 VPN 事件

是的

太阳

Sun Solaris DHCP 2.8

Syslog

所有活动

是的

是的

太阳

Sun Solaris OS 5.8、5.9

Syslog

所有活动

是的

是的

太阳

Sun Solaris Sendmail 2.x

Syslog

日志文件协议

证据点 7.5 和 8.0 Sendmail 日志

所有活动

是的

太阳

Sun Solaris 基本安全模式 (BSM) 5.10 和 5.11

日志文件协议

所有活动

是的

太阳

Sun ONE LDAP v11.1

(称为 Oracle Directory 服务器)

日志文件协议

UDP 多线路系统日志

所有相关访问和 LDAP 事件

Sybase

Sybase ASE 15.0 及更高版本

Jdbc

所有活动

赛门铁克

Symantec 端点防御 11、12 和 14

Syslog

所有审计和安全日志

是的

是的

赛门铁克

Symantec SGS 设备 3.x 及更高版本

Syslog

所有活动

是的

是的

赛门铁克

赛门铁克 SSC 10.1

Jdbc

所有活动

是的

赛门铁克

Symantec Data Loss Prevention (DLP) 8.x 及更高版本

Syslog

所有活动

赛门铁克

Symantec 加密管理服务器 3.0 倍

以前称为 PGP 通用服务器

Syslog

所有活动

是的

Symark

Symark PowerBroker 4.0

Syslog

所有活动

是的

SysFlow 是由 IBM 发起的一个开源项目。

SysFlow 1.0

Syslog

事件格式:JSON 记录的事件类型:SysFlow

是的

ThreatGRID

恶意软件威胁情报平台 v2.0

日志文件协议

Syslog

恶意软件事件

引爆点

入侵防御系统 (IPS) 1.4.2 到 3.2.x

提示点短信 5.2.0

Syslog

所有活动

引爆点

X505/X506 2.5 及更高版本

Syslog

所有活动

是的

是的

顶层

IPS 5500 4.1 及更高版本

Syslog

所有活动

是的

趋势科技

Trend Micro Apex Central(版本 1)

系统日志、TLS 系统日志

事件格式:CEF

事件类型:

攻击发现检测日志

行为监控日志

C&C 回叫日志

内容安全日志

数据丢失防御日志

设备访问控制日志

端点应用程序控制日志

引擎更新状态日志

网络内容检查日志

模式更新状态日志

预测性机器学习日志

沙盒检测日志

间谍软件/灰色软件日志

可疑文件日志

病毒/恶意软件日志

Web 安全日志

是的

趋势科技

Trend Micro Apex One 8.x 和 10.x

以前称为趋势微 Office 扫描。JSA 中的名称保持不变。

SNMPv2 所有活动

趋势科技

趋势微控制管理器 5.0 或 5.5 与补图 1697 或后 SP1 补丁 1713

SNMPv1

SNMPv2

SNMPv3

所有活动

是的

趋势科技

趋势 Micro 深度发现分析器 5.0、5.5、5.8 和 6.0

LEEF

所有活动

是的

趋势科技

趋势微深度发现电子邮件检查器 3.0

日志事件扩展格式 (LEEF)

检测、虚拟分析器分析日志、系统事件、警报事件

是的

趋势科技

Trend Micro 深度发现检查器 3.0 到 3.8、5.0 和 5.1

日志事件扩展格式 (LEEF)

恶意内容

恶意行为

可疑行为

利用

灰色软件

网络声誉

颠覆性应用

沙 箱

相关

系统

更新

是的

趋势科技

趋势科技深度安全 9.6.1532 至 12.0

日志事件扩展格式 (LEEF)

反恶意软件

深度安全

防火墙

完整性监控

入侵防御

日志检测

系统

网络声誉

是的

Tripwire

Enterprise Manager 5.2 及更高版本

Syslog

事件格式:CEF (CEF:0)支持)

事件类型:资源添加、删除和修改事件

是的

Tropos Networks

对流控制 7.7

Syslog

故障管理、登录/退出、调配和设备图像上传事件

受托人

Apex 本地事件聚合器 1304.x 及更高版本

Syslog

恶意软件、漏洞和数据泄露检测事件

是的

Vectra Networks

Vectra Networks Vectra 2.2

Syslog

主机评分,命令和控制,僵尸网络活动,重新部署,横向移动,外泄

事件格式:CEF (CEF:0)支持)

是的

Verdasys

Digital Guardian 6.0.x(仅限系统日志)

数字卫报 6.1.1 和 7.2(仅限 LEEF)

Syslog

活动格式:LEEF

活动:所有活动

是的

Vericept

内容 360 最高 8.0

Syslog

所有活动

是的

Vmware

VMware AppDefense 1.0

Json

VMWare 应用程序防御 API 协议

所有活动

Vmware

Carbon Black 应用程序控制 8.0.x 到 8.5.x

(以前称为碳黑保护)

Syslog

活动格式:LEEF

事件类型:计算机管理、服务器管理、会话管理、策略管理、策略实施、内部事件、常规管理、发现

是的

是的

Vmware

VMware ESX 或 ESXi 3.5.x、4.x、5.x 和 6.x

Syslog

VMWare 协议

帐户信息

通知

警告

错误

系统信息

系统配置

系统错误

用户登录

杂项可疑事件

访问被拒绝

许可证已过期

信息

认证

会话跟踪

如果系统日志,则为

Vmware

VMware vCenter v5.x 和 v6.x

VMWare 协议

帐户信息

通知

警告

错误

系统信息

系统配置

系统错误

用户登录

杂项可疑事件

访问被拒绝

许可证已过期

信息

认证

会话跟踪

Vmware

VMware vCloud Director 5.1- 10.0

vCloud Director 协议

所有活动

是的

Vmware

VMware vShield

Syslog

所有活动

是的

Vormetric, Inc.

Vormetric 数据安全性

系统日志 (LEEF)

审计

报警

警告

学习模式

系统

是的

守门人

WatchGuard Fireware OS

Syslog

所有活动

是的

Websense

(现在称为 Forcepoint)

           

Zscaler

Zscaler

纳米流服务 (Zscaler NSS) 6.0

Syslog

事件格式:LEEF 事件类型:Web 日志事件、防火墙

事件类型:Web 日志事件、防火墙事件(包括 DNS)

是的

Zscaler

Zscaler 专用接入

Syslog

活动格式:LEEF

事件类型:应用程序连接器状态、审核、用户状态

是的