JSA 支持的 DSM
JSA 可以使用称为设备支持模块 (DSM) 的插件文件从您的安全产品收集事件。
如果 DSM 配置指南中未列出您拥有的产品版本或设备,该怎么办?
有时,某个供应商产品或设备的某个版本未列为受支持。如果产品或设备未列出,请遵循以下准则:
版本未列出
如果您的产品的 DSM 受 JSA 的正式支持,但您的产品版本未在 《瞻博网络安全分析配置 DSM 指南》中列出,则您具有以下选项:
试用 DSM,看看它是否工作。指南中列出的产品版本由瞻博网络测试,但较新版本的未经测试也可使用。
如果您试用 DSM 但不起作用,请打开支持工单,查看日志源,以便排除故障并排除任何潜在问题。
提示:在大多数情况下,不需要更改,或者可能需要对 QRadar 标识符 (QID) 映射进行轻微更新。供应商的软件更新可能会在极少数情况下添加或更改破坏 DSM 的事件格式,因此需要 RFE 来开发新集成。这是唯一需要 RFE 的场景。
设备未列出
当设备不受正式支持时,您具有以下选项:
打开增强 (RFE) 请求,正式支持您的设备。
转至 JSA。
登录支持门户页面。
单击 提交 选项卡并键入必要的信息。
提示:如果设备有事件日志,请附上事件日志信息,并包括生成事件日志的设备的产品版本。
编写日志源扩展,以分析设备的事件。有关更多信息,请参阅 日志源扩展。
您可以使用内容扩展来向某些第三方供应商提供的 JSA 发送事件。
下表列出了第三方和 JSA 解决方案支持的 DSM。
制造商 |
设备名称和版本 |
协议 |
录制的事件和格式 |
自动发现? |
包括身份信息? |
包括自定义属性? |
---|---|---|---|---|---|---|
3Com |
8800 系列交换机 V3.01.30 |
Syslog |
状态和网络状况事件 |
是的 |
不 |
不 |
AhnLab |
AhnLab 策略中心 |
AhnLabPolicy CenterJdbc |
间谍软件检测 病毒检测 审计 |
不 |
是的 |
不 |
Akamai |
Akamai KONA |
HTTP 接收器 Akamai Kona REST API |
警告规则事件 拒绝规则事件 事件格式:JSON 记录的事件类型:所有安全事件 |
不 |
不 |
不 |
亚马逊 |
Amazon AWS 应用程序负载平衡器访问日志 |
Amazon AWS S3 REST API |
事件格式:用空格分隔的预定义字段 记录的事件类型:访问日志 |
是的 |
不 |
不 |
亚马逊 |
Amazon AWS 弹性 Kubernetes 服务 支持的版本:Kubernetes API 1.19 |
Amazon Web Services |
事件格式:JSON 录制的事件类型:Amazon AWS Kubernetes |
是的 |
不 |
不 |
亚马逊 |
Amazon AWS 网络防火墙 |
Amazon AWS S3 REST API |
事件格式:JSON 记录的事件类型:防火墙警报日志、防火墙流日志 |
不 |
不 |
不 |
亚马逊 |
Amazon AWS Route 53 |
|
事件格式:
记录的事件类型:事件版本 1.0 |
是的 | 不 | 不 |
亚马逊 |
Amazon AWS Security Hub |
Amazon Web Services |
事件格式:JSON 录制的事件类型:AWS 安全查找格式 (ASFF) |
不 |
不 |
不 |
亚马逊 |
Amazon AWS WAF |
Amazon AWS S3 REST API |
事件格式:JSON 录制的事件类型:允许流量、流量块 |
不 |
不 |
不 |
亚马逊 |
Amazon GuardDuty |
Amazon GuardDuty |
Amazon GuardDuty 调查结果 Json |
不 |
不 |
不 |
亚马逊 |
Amazon AWS CloudTrail |
Amazon AWS S3 REST API |
所有版本 1.0、1.02、1.03 和 1.04 事件。 |
不 |
不 |
不 |
安比隆 |
TrustWave ipAngel V4.0 |
Syslog |
基于 Snort 的事件 |
不 |
不 |
不 |
Apache |
HTTP 服务器 V1.3+ |
Syslog |
HTTP 状态 |
是的 |
不 |
不 |
Apc |
Ups |
Syslog |
Smart-UPS 系列活动 |
不 |
不 |
不 |
苹果 |
Apple Mac OS X 10.12 版 |
Syslog |
防火墙、Web 服务器访问、Web 服务器错误、权限和信息性事件 |
不 |
是的 |
不 |
Application Security, Inc. |
DbProtect V6.2、V6.3、V6.3sp1、V6.3.1 和 v6.4 |
Syslog |
所有活动 |
是的 |
不 |
不 |
Arbor Networks |
Arbor Networks Pravail APS V3.1+ |
系统日志、TLS 系统日志 |
所有活动 |
是的 |
不 |
不 |
Arbor Networks |
Arbor Networks 峰值流量 SP V5.8 到 V8.12 |
系统日志、TLS 系统日志 |
拒绝服务 (DoS) 认证 利用 可疑活动 系统 |
是的 |
不 |
不 |
Arpeggio 软件 |
SIFT-IT V3.1+ |
Syslog |
在 SIFT-IT 规则集中配置的所有事件 |
是的 |
不 |
不 |
阵列网络 |
SSL VPN 阵列SP V7.3 |
Syslog |
所有活动 |
不 |
是的 |
是的 |
Aruba Networks |
ClearPass 策略管理器 V6.5.0.71095 及更高版本 |
Syslog |
LEEF |
是的 |
是的 |
不 |
Aruba Networks |
移动控制器 V2.5 + |
Syslog |
所有活动 |
是的 |
不 |
不 |
Avaya Inc. |
Avaya VPN 网关 V9.0.7.2 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
BalaBit IT 安全 |
Microsoft Windows 安全事件日志 V4.x |
Syslog |
Microsoft 事件日志事件 |
是的 |
是的 |
不 |
BalaBit IT 安全 |
Microsoft ISA V4.x |
Syslog |
Microsoft 事件日志事件 |
是的 |
是的 |
不 |
梭子鱼网络 |
垃圾邮件和病毒防火墙 V5.x 及更高版本 |
Syslog |
所有活动 |
是的 |
不 |
不 |
梭子鱼网络 |
Web 应用程序防火墙 V7.0.x |
Syslog |
系统、Web 防火墙、访问和审计事件 |
是的 |
不 |
不 |
梭子鱼网络 |
Web 过滤器 V6.0.x+ |
Syslog |
Web 流量和 Web 界面事件 |
是的 |
不 |
不 |
Bit9 |
Carbon Black V5.1 及更高版本 |
Syslog |
关注列表命中数 |
是的 |
不 |
不 |
Bit9 |
Bit9 奇偶校验 |
Syslog |
LEEF |
是的 |
不 |
|
Bit9 |
安全平台 V6.0.2 及更高版本 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
BlueCat Networks |
Adonis V6.7.1-P2+ |
Syslog |
DNS 和 DHCP 事件 |
是的 |
不 |
不 |
蓝色外套 |
SG V4.x+ |
系统日志日志文件协议 |
所有活动 |
不 |
不 |
是的 |
蓝色外套 |
网络安全服务 |
蓝色外套 ELFF,访问 |
不 |
不 |
不 |
|
布里奇沃特系统 |
AAA V8.2c1 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
Broadcom |
CA 访问控制设施 (ACF2)(以前称为 CA Technologies ACF2) |
日志文件协议 |
所有活动 |
不 |
不 |
是的 |
Broadcom |
CA 绝密(以前称为 CA Technologies 绝密) |
日志文件协议 |
所有活动 |
不 |
不 |
是的 |
Broadcom |
赛门铁克 SiteMinder(以前称为 CA SiteMinder) |
系统日志、日志文件 |
所有活动 |
不 |
是的 |
不 |
锦 |
交换矩阵操作系统 V7.x |
Syslog |
系统和审计事件 |
是的 |
不 |
不 |
Centrify |
Centrify 身份平台 |
Centrify Redrock REST API |
事件格式:JSON 事件类型:SaaS、核心、内部和移动 |
不 |
不 |
不 |
炭黑 |
Carbon Black V5.1 及更高版本 |
Syslog |
关注列表命中数 |
是的 |
不 |
不 |
炭黑 |
Carbon Black Bit9 奇偶校验 |
Syslog |
LEEF |
是的 |
|
不 |
炭黑 |
Carbon Black Bit9 安全平台 V6.0.2 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
Centrify |
Centrify 身份平台 |
Centrify Redrock REST API |
事件格式:JSON 事件类型:SaaS、核心、内部和移动 |
不 |
不 |
不 |
Centrify |
2017 年 Centrify 基础架构服务 |
系统日志和 WinCollect |
WinCollect 日志、审计事件 |
是的 |
不 |
不 |
检查点 |
检查点版本 NG、FP1、FP2、FP3、AI R54、AI R55、R65、R70、R77、R80、NGX 和 R75 |
系统日志或 OPSEC LEA |
所有活动 |
是的 |
是的 |
是的 |
检查点 |
VPN-1 版本 NG、FP1、FP2、FP3、AI R54、AI R55、R65、R70、R77 NGX |
系统日志或 OPSEC LEA |
所有活动 |
是的 |
是的 |
不 |
检查点 |
检查点多域管理(提供商-1)版本 NG、FP1、FP2、FP3、AI R54、AI R55、R65、R70、R77、NGX |
系统日志或 OPSEC LEA |
所有活动 |
是的 |
是的 |
不 |
Cilasoft |
Cilasoft QJRN/400 V5.14.K+ |
Syslog |
IBM 审计事件 |
是的 |
是的 |
不 |
思科 |
4400 系列无线 LAN 控制器 V7.2 |
系统日志或 SNMPv2 |
所有活动 |
不 |
不 |
不 |
思科 |
Cisco CallManager 8.x,11.5 |
Syslog |
应用程序事件 |
是的 |
不 |
不 |
思科 |
ACS V4.1 及更高版本(直接来自 ACS V3.x)及更高版本(如果使用 ALE) |
Syslog |
失败的访问尝试 |
是的 |
是的 |
不 |
思科 |
Aironet V4.x+ |
Syslog |
Cisco 标志格式 |
是的 |
不 |
不 |
思科 |
ACE 防火墙 V12.2 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
思科 |
Cisco AMP |
Cisco AMP |
所有安全事件
注意:
网络流量仅支持数据流控制 (DCF) 事件。 |
|
|
|
思科 |
ASA V7.x 及更高版本 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
思科 |
ASA V7.x+ |
NSEL 协议 |
所有活动 |
不 |
不 |
不 |
思科 |
CSA V4.x、V5.x 和 V6.x |
系统日志 SNMPv1 SNMPv2 |
所有活动 |
是的 |
是的 |
不 |
思科 |
用于催化剂系统 V7.3+ 的 CatOS |
Syslog |
所有活动 |
是的 |
是的 |
不 |
思科 |
云 Web 安全 (CWS) |
Amazon AWS S3 REST API |
W3c 所有 Web 使用日志 |
不 |
不 |
不 |
思科 |
Cisco Stealthwatch V6.8 |
Syslog |
活动格式:LEEF 事件类型:异常、数据囤积、漏洞利用、高关注度、索引、高 DDoS 源指数、高目标指数、违反策略、侦察、高 DDoS 目标索引、数据泄露、C&C |
是的 |
不 |
不 |
思科 |
IPS V7.1.10 及更高版本、V7.2.x、V7.3.x |
SDEE |
所有活动 |
不 |
不 |
不 |
思科 |
Cisco IronPort V5.5、V6.5、V7.1、V7.5(增加对访问日志的支持) Cisco IronPort 电竞中心:V10.0 Cisco IronPort WSA:V10.0 |
系统日志、日志文件协议 |
活动格式:所有事件 录制的事件类型: 邮件(系统日志) 系统(系统日志) 访问(系统日志) Web 内容过滤(日志文件) |
不 |
不 |
不 |
思科 |
IronPort V5.5、V6.5、V7.1 和 V7.5 |
系统日志、日志文件协议 |
所有活动 |
不 |
不 |
不 |
思科 |
FireSIGHT 管理中心 V4.8.0.2 至 V6.0.0 (以前称为源火防御中心) |
FireSIGHT 管理中心 |
入侵事件和额外数据 关联事件 元数据事件 探索事件 举办活动 用户事件 恶意软件事件 文件事件 |
不 |
不 |
不 |
思科 |
Cisco Firepower 管理中心 V5.2 至 V6.4 (以前称为 Cisco FireSIGHT 管理中心) |
Cisco Firepower eStreamer 协议 |
探索事件 关联和白名单事件 影响标志警报 用户活动 恶意软件事件 文件事件 连接事件 入侵事件 入侵事件数据包数据 不信任事件额外数据 |
不 |
不 |
不 |
思科 |
Cisco Firepower 威胁防御 |
Syslog |
事件格式:Syslog、逗号分隔值 (CSV)、名称-值对 (NVP) 记录的事件类型:入侵、连接 |
是的 |
是的 |
不 |
思科 |
Cisco 防火墙服务模块 (FWSM) v2.1+ |
Syslog |
所有活动 |
是的 |
是的 |
是的 |
思科 |
Cisco Catalyst 交换机 IOS,12.2,12.5+ |
Syslog |
所有活动 |
是的 |
是的 |
不 |
思科 |
Cisco Meraki |
Syslog |
事件格式:系统日志 事件类型: 事件 流 security_event_ids_alerted |
|
|
|
思科 |
Cisco NAC 设备 v4.x + |
Syslog |
审计、错误、故障、隔离和受感染事件 |
不 |
不 |
不 |
思科 |
Cisco Nexus v6.x |
Syslog |
Nexus-OS 事件 |
是的 |
不 |
不 |
思科 |
Cisco PIX 防火墙 v5.x、v6.3+ |
Syslog |
Cisco PIX 事件 |
是的 |
是的 |
是的 |
思科 |
Cisco 身份服务引擎 V1.1 至 V2.2 |
UDP 多线路系统日志 |
事件格式:系统日志 事件类型:设备事件 |
不 |
是的 |
不 |
思科 |
Cisco IOS 12.2、12.5+ |
Syslog |
所有活动 |
是的 |
是的 |
不 |
思科 |
Cisco 总览 |
Amazon AWS S3 REST API |
事件格式:Cisco 总览式 CSV 事件类型:审计 |
不 |
不 |
不 |
思科 |
Cisco VPN 3000 集中器版本 VPN 3005、4.1.7.H |
Syslog |
所有活动 |
是的 |
是的 |
是的 |
思科 |
Cisco 无线服务模块 (WiSM) v 5.1+ |
Syslog |
所有活动 |
是的 |
不 |
不 |
Citrix |
Citrix NetScaler V9.3 至 V10.0 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
Citrix |
Citrix 接入网关 V4.5 |
Syslog |
访问、审计和诊断事件 |
是的 |
不 |
不 |
Cloudera |
Cloudera Navigator |
Syslog |
HDFS、HBase、Hive、Hue、Cloudera Impala、Sentry 的审计事件 |
是的 |
不 |
不 |
Cloudflare |
Cloudflare 日志 |
Amazon AWS S3 REST API HTTP 接收器 |
事件格式:JSON 事件类型:HTTP 事件、防火墙事件 |
是的 |
不 |
不 |
CloudPassage |
CloudPassage Halo |
系统日志、日志文件 |
所有活动 |
是的 |
不 |
不 |
CrowdStrike |
众击猎鹰 |
Syslog LEEF |
事件摘要,检测摘要,身份验证,检测状态更新,上传的 IoC,网络控制,IP 白名单,策略管理,CrowdStrike 存储,猎鹰防火墙管理,实时响应,事件流 |
是的 |
不 |
不 |
CorreLog |
IBMz/OS 的 CorreLog 代理 |
系统日志 LEEF |
所有活动 |
是的 |
不 |
不 |
加密卡 |
加密盾 V6.3 |
Syslog |
所有活动 |
不 |
不 |
不 |
CyberArk |
CyberArk 特权威胁分析 V3.1 |
Syslog |
检测到的安全事件 |
是的 |
不 |
不 |
CyberArk |
CyberArk Vault V6.x |
Syslog |
所有活动 |
是的 |
是的 |
不 |
CyberGuard |
防火墙/VPN KS1000 V5.1 |
Syslog |
CyberGuard 活动 |
是的 |
不 |
不 |
丹巴拉 |
故障保护 V5.0.2+ |
Syslog |
所有活动 |
是的 |
不 |
不 |
数字化中国网络 |
DCS 和 DCRS 系列交换机 V1.8.7 |
Syslog |
DCS 和 DCRS IPv4 事件 |
不 |
不 |
不 |
DG Technology |
DG Technology MEAS |
LEEF 系统日志 |
主机事件 |
是的 |
不 |
不 |
Eset |
ESET 远程管理员 V6.4.270 |
Syslog LEEF |
威胁事件 防火墙聚合事件 HIPS 聚合事件 审计事件 |
是的 |
不 |
不 |
极端 |
Dragon V5.0、V6.x、V7.1、V7.2、V7.3 和 V7.4 |
系统日志 SNMPv1 SNMPv3 |
所有相关“极端龙”活动 |
是的 |
不 |
不 |
极端 |
800 系列交换机 |
Syslog |
所有活动 |
是的 |
不 |
不 |
极端 |
Matrix 路由器 V3.5 |
系统日志 SNMPv1 SNMPv2 SNMPv3 |
SNMP 和 syslog 登录、退出和登录失败事件 |
是的 |
不 |
不 |
极端 |
NetSight 自动安全管理器 V3.1.2 |
Syslog |
所有活动 |
是的 |
不 |
不 |
极端 |
Matrix N/K/S 系列交换机 V6.x、V7.x |
Syslog |
所有相关 Matrix K 系列、N 系列和 S 系列设备事件 |
是的 |
不 |
不 |
极端 |
可堆叠和独立交换机 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
极端 |
XSR 安全路由器 V7.6.14.0002 |
Syslog |
所有活动 |
是的 |
不 |
不 |
极端 |
HiGuard Wireless IPS 2R2.0.30 |
Syslog |
所有活动 |
是的 |
不 |
不 |
极端 |
HiPath 无线控制器 2R2.0.30 |
Syslog |
所有活动 |
是的 |
不 |
不 |
极端 |
NAC 3.2 和 3.3 |
Syslog |
所有活动 |
是的 |
不 |
不 |
企业 IT-Security.com |
SF-Sherlock 8.1 及更高版本 |
LEEF |
All_Checks、DB2_Security_Configuration、JES_Configuration、Job_Entry_System_Attack、Network_Parameter、Network_Security、No_Policy、Resource_Access_Viol、Resource_Allocation、Resource_Protection、Running_System_Change、Running_System_Security、Running_System_Status、Security_Dbase_Scan、Security_Dbase_Specialty、Security_Dbase_Status、Security_Parm_Change、Security_System_Attack、Security_System_Software、Security_System_Status、SF-Sherlock、Sherlock_Diverse、 Sherlock_Diverse、Sherlock_Information、Sherlock_Specialties、Storage_Management、Subsystem_Scan、Sysplex_Security、Sysplex_Status、System_Catalog、System_File_Change、System_File_Security、System_File_Specialty、System_Log_Monitoring、System_Module_Security、System_Process_Security、System_Residence、System_Tampering、System_Volumes、TSO_Status、UNIX_OMVS_Security、UNIX_OMVS_System、User_Defined_Monitoring、xx_Resource_Prot_Templ |
是的 |
不 |
不 |
史诗 |
Epic SIEM,版本 Epic 2014、Epic 2015 和 Epic 2017 |
LEEF |
审计、身份验证 |
是的 |
是的 |
不 |
Exabeam |
Exabeam 1.7 和 2.0 |
不适用 |
严重、异常 |
是的 |
不 |
不 |
Extreme Networks |
Extreme Ware 7.7 和 XOS 12.4.1.x |
Syslog |
所有活动 |
不 |
是的 |
不 |
F5 网络 |
F5 Networks BIG-IP AFM 11.3 和 12.x 到 14.x |
Syslog |
网络、网络 DoS、协议安全、DNS 和 DNS DoS 事件 |
是的 |
不 |
不 |
F5 网络 |
F5 网络 BIG-IP LTM 9.42 至 14.x |
系统日志、CSV |
所有活动 |
不 |
是的 |
不 |
F5 网络 |
F5 网络 BIG-IP ASM 10.1 至 14.x |
Syslog |
事件格式:CEF (CEF:0)支持) 记录的事件类型:所有安全事件 |
不 |
是的 |
不 |
F5 网络 |
F5 Networks BIG-IP APM 10.x 至 14.x |
Syslog |
所有活动 |
是的 |
不 |
不 |
F5 网络 |
FirePass 7.0 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
公平警告 |
公平警告 2.9.2 |
日志文件协议 |
所有活动 |
不 |
不 |
不 |
法索 |
法索企业 DRM 5.0 |
Jdbc |
NVP 事件格式 使用事件 |
不 |
不 |
不 |
Fidelis 安全系统 |
菲德利斯 XPS 7.3.x |
Syslog |
警报事件 |
是的 |
不 |
不 |
FireEye |
FireEye CMS、MPS、EX、AX、NX、FX 和 HX |
系统日志、TLS 系统日志 |
所有相关活动 通用事件格式 (CEF) 格式化的消息 日志事件扩展格式 (LEEF) |
是的 |
不 |
不 |
FreeRADIUS |
FreeRADIUS 2.x |
Syslog |
所有活动 |
是的 |
是的 |
不 |
Forcepoint |
Forcepoint Sidewinder 6.1 (以前称为 McAfee Firewall Enterprise 6.1) |
Syslog |
Forcepoint Sidewinder 审计事件 |
是的 |
不 |
不 |
Forcepoint |
Stonesoft 管理中心 5.4 至 6.1 |
Stonesoft 管理中心 V5.4 至 6.1 |
活动格式:LEEF 事件类型:管理中心、IPS、防火墙和 VPN 事件 |
是的 |
不 |
不 |
Forcepoint (以前称为 Websense) |
TRITON 7.7 和 8.2 |
Syslog |
所有活动 |
是的 |
不 |
不 |
Forcepoint (以前称为 Websense) |
V 系列数据安全套件 (DSS) 7.1x |
Syslog |
所有活动 |
是的 |
是的 |
是的 |
Forcepoint (以前称为 Websense) |
V 系列内容网关 V7.1x |
日志文件协议 |
所有活动 |
不 |
不 |
不 |
ForeScout |
CounterACT 7.x 及更高版本 |
Syslog |
拒绝服务、系统、漏洞、身份验证和可疑事件 |
不 |
不 |
不 |
Fortinet |
Fortinet FortiGate 安全网关 FortiOS 6.4 及更早版本 |
Syslog 系统日志重定向 |
所有活动 |
是的 |
是的 |
是的 |
铸造 |
FastIron 3.x.x 和 4.x.x |
Syslog |
所有活动 |
是的 |
是的 |
不 |
genua |
genugate 8.2+ |
Syslog |
常规错误消息 高可用性 常规中继消息 中继特定消息 genua 程序/守护程序 EPSI 计费守护程序 - gg/src/acctd Configfw FWConfig ROFW 配置 用户界面 Web 服务器 |
是的 |
是的 |
不 |
谷歌 |
Google Cloud Platform Firewall |
Google Cloud 发布/订阅 |
事件格式:JSON 事件类型:防火墙允许、防火墙拒绝 |
不 |
不 |
不 |
谷歌 |
Google G Suite 活动报告 |
Google G Suite 活动报告 REST API |
事件格式:JSON 记录的事件类型:管理员、驱动器、登录、用户帐户 |
不 |
不 |
不 |
大湾 |
灯塔 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
H3C 技术 |
H3C Comware 平台、H3C 交换机、H3C 路由器、H3C 无线 LAN 设备和 H3C IP 安全设备 支持版本 7 |
Syslog |
NVP 系统 |
不 |
不 |
不 |
HBGary |
主动防御 1.2 及更高版本 |
Syslog |
所有活动 |
是的 |
不 |
不 |
惠普企业 |
HPE 网络自动化 10.11 |
Syslog LEEF |
所有操作和配置网络事件。 |
是的 |
是的 |
不 |
惠普企业 |
HPE ProCurve K.14.52 |
Syslog |
所有活动 |
是的 |
不 |
不 |
惠普企业 |
HPE 串联 |
日志文件协议 |
安全保护审计文件事件 |
不 |
不 |
不 |
惠普企业 |
HPE UX V11.x 及更高版本 |
Syslog |
所有活动 |
不 |
是的 |
不 |
Honeycomb Technologies |
Lexicon 文件完整性监控网状服务 V3.1 及更高版本 |
Syslog |
完整性事件 |
是的 |
不 |
不 |
华为 |
使用 V200R001C00 的 S 系列交换机 S5700、S7700 和 S9700 |
Syslog |
来自 S5700、S7700 和 S9700 交换机的 IPv4 事件 |
不 |
不 |
不 |
华为 |
AR 系列路由器(使用 V200R002C00 的 AR150、AR200、AR1200、AR2200 和 AR3200 路由器) |
Syslog |
IPv4 事件 |
不 |
不 |
不 |
Ibm |
IBM AIX V6.1 和 V7.1 |
系统日志、日志文件协议 |
配置的审计事件 |
是的 |
不 |
不 |
Ibm |
IBM AIX 5.x、6.x 和 v7.x |
Syslog |
身份验证和操作系统事件 |
是的 |
是的 |
不 |
Ibm |
IBM BigFixV8.2.x 至 9.5.2 (以前称为 Tivoli EndPoint 管理器) |
IBM BigFix SOAP 协议 |
服务器事件 |
不 |
不 |
不 |
Ibm |
IBM BigFix 检测
注意:
IBM BigFix 检测 JSA 的 DSM 已弃用。 |
|||||
Ibm |
IBM Bluemix Platform(现在称为 IBM Cloud Platform) |
|||||
Ibm | IBM Cloud 活动跟踪器 | Apache Kafka 协议 | 事件格式:JSON | 是的 | 不 | 不 |
Ibm | IBM Cloud Identity(现在称为 IBM Security Verify) | |||||
Ibm | IBM Cloud Platform(以前称为 IBM Bluemix Platform) | 系统日志、TLS 系统日志 | 所有系统 (Cloud Foundry) 事件,一些应用程序事件 | 是的 | 不 | 不 |
Ibm |
IBM DLC 指标 |
系统日志,转发 |
活动格式:LEEF 录制的事件类型:所有 DLC 指标事件类型 |
是的 |
不 |
不 |
Ibm |
IBM Federated Directory 服务器 V7.2.0.2 及更高版本 |
LEEF |
FDS 审计 |
是的 |
不 |
不 |
Ibm |
IBM Guardium 8.2p45 |
Syslog |
策略生成器事件 |
不 |
不 |
不 |
Ibm |
IBM i DSM V5R4 及更高版本 (以前称为 AS/400i 系列) |
日志文件协议 |
事件格式:CEF (CEF:0)支持) 记录的事件类型:所有安全事件 |
不 |
是的 |
不 |
Ibm |
IBM i - Robert Townsend Security Solutions V5R1 及更高版本 (以前称为 AS/400i 系列) |
Syslog |
事件格式:CEF (CEF:0)支持) |
是的 |
是的 |
不 |
Ibm |
IBM i - Powertech Interact V5R1 及更高版本 (以前称为 AS/400i 系列) |
Syslog |
事件格式:CEF (CEF:0)支持) |
是的 |
是的 |
不 |
Ibm |
IBM ISS Proventia M10 v2.1_2004.1122_15.13.53 |
Snmp |
所有活动 |
不 |
不 |
不 |
Ibm |
IBM Lotus Domino v8.5 |
Snmp |
所有活动 |
不 |
不 |
不 |
Ibm |
IBM Proventia Management SiteProtector v2.0 和 v2.9 |
Jdbc |
IPS 和审计事件 |
不 |
不 |
不 |
Ibm |
IBM RACF v1.9 至 v1.13 |
日志文件协议 |
所有活动 |
不 |
不 |
是的 |
Ibm |
IBM CICS v3.1 至 v4.2 |
日志文件协议 |
所有活动 |
不 |
不 |
是的 |
Ibm |
IBM DB2 v8.1 至 v10.1 |
日志文件协议 |
所有活动 |
不 |
不 |
是的 |
Ibm |
IBM DataPower 固件V6 和 V7 (以前称为 WebSphere DataPower) |
Syslog |
所有活动 |
是的 |
不 |
不 |
Ibm |
IBM MaaS360 安全 (以前称为 IBM Fiberlink MaaS360) |
LEEF |
合规性规则事件 设备注册事件 操作历史事件 |
不 |
是的 |
不 |
Ibm |
IBM JSA 数据包捕获 IBM JSA 数据包捕获 2014.3 至 2014.8 |
系统日志、LEEF |
所有活动 |
是的 |
不 |
不 |
Ibm |
IBM SAN 量控制器 |
Syslog |
CADF 事件格式
|
是的 |
不 |
不 |
Ibm |
IBM z/OS v1.9 至 v1.13 |
日志文件协议 |
所有活动 |
不 |
不 |
是的 |
Ibm |
IBM Informix v11 |
日志文件协议 |
所有活动 |
不 |
不 |
不 |
Ibm |
IBM IMS |
日志文件协议 |
所有活动 |
不 |
不 |
不 |
Ibm |
安全身份治理 (ISIG) |
Jdbc |
NVP 事件格式 审计事件类型 |
不 |
不 |
不 |
Ibm |
安全网络保护 (XGS) v5.0,修复包 7 到 v5.4 |
Syslog |
系统、访问和安全事件 |
是的 |
不 |
不 |
Ibm |
安全网络 IPS v4.6 及更高版本 |
Syslog |
安全、运行状况和系统事件 |
是的 |
不 |
不 |
Ibm |
安全身份管理器 6.0.x 及更高版本 |
Jdbc |
审核和再认证事件 |
不 |
是的 |
不 |
Ibm |
IBM Security 受托人 |
HTTP 接收器 |
事件格式:JSON 事件类型:受托人警报 |
是的 |
不 |
不 |
Ibm |
IBM Security 受托人 Apex 高级恶意软件防御 |
系统日志/LEEF 日志文件协议 |
恶意软件检测 漏洞检测 数据外泄检测 Java 锁定事件 文件检查事件 Apex 停止事件 Apex 已卸载事件 策略更改事件 ASLR 违规事件 ASLR 实施事件 密码保护事件 |
是的 |
是的 |
不 |
Ibm
|
IBM Sense v1 |
Syslog |
LEEF |
是的 |
不 |
不 |
Ibm |
IBM SmartCloud Orchestrator v2.3 FP1 及更高版本 |
IBM SmartCloud 编排器 REST API |
审计记录 |
不 |
是的 |
不 |
Ibm |
IBM Security 验证 (以前称为 IBM Cloud Identity) |
Json |
身份验证、SSO、管理 |
不 |
是的 |
是的 |
Ibm |
Tivoli Access Manager IBM Web Security 网关 v7.x |
Syslog |
审计、访问和 HTTP 事件 |
是的 |
是的 |
不 |
Ibm |
Tivoli Endpoint Manager v8.2.x 及更高版本 |
IBM Tivoli 端点管理器 SOAP 协议 |
服务器事件 |
不 |
是的 |
不 |
Ibm |
WebSphere 应用程序服务器 v5.0 到 v8.5 |
日志文件协议 |
所有活动 |
不 |
是的 |
不 |
Ibm |
WebSphere DataPower (现在称为 DataPower) WebSphere DataPower |
|||||
Ibm |
zSecure 警报 v1.13.x 及更高版本 |
UNIX 系统日志 |
警报事件 |
是的 |
是的 |
不 |
Ibm |
Security Directory v6.3.1 及更高版本 |
系统日志 LEEF |
所有活动 |
是的 |
是的 |
不 |
伊鲁穆尼奥 |
Illumio 自适应安全平台 |
Syslog LEEF |
审计 交通 |
是的 |
不 |
不 |
Imperva |
Incapsula |
LEEF |
访问事件和安全警报 |
是的 |
不 |
不 |
Imperva |
SecureSphere v6.2 和 v7.x 版本企业版 (Syslog) SecureSphere v9.5 到 v11.5 (LEEF) |
Syslog LEEF |
防火墙策略事件 |
是的 |
不 |
不 |
Infoblox NIOS |
Infoblox NIOS 6.x 到 8.x |
Syslog |
ISC 盲区 Linux DHCP Linux 服务器 Apache |
不 |
是的 |
不 |
互联网系统联盟 (ISC) |
ISC BIND 9.9、9.11、9.12 |
Syslog |
所有活动 |
是的 |
不 |
不 |
交汇联盟 |
SNARE 企业 Windows 代理 |
Syslog |
Microsoft 事件日志 |
是的 |
是的 |
不 |
IT-CUBE |
agileSI 1.x |
中小型企业尾部 |
AgileSI SAP 事件 |
不 |
是的 |
不 |
Itron |
Openway Smart Meter |
Syslog |
所有活动 |
是的 |
不 |
不 |
瞻博网络 |
AVT |
Jdbc |
所有活动 |
不 |
不 |
是的 |
瞻博网络 |
DDoS Secure 瞻博网络 DDoS Secure 现在被称为 NCC Group DDoS Secure。 |
Syslog |
所有活动 |
是的 |
不 |
不 |
瞻博网络 |
Dx 瞻博网络 DX 平台产品已终止生命周期 (EOL),瞻博网络不再提供支持。 |
Syslog |
状态和网络状况事件 |
是的 |
不 |
是的 |
瞻博网络 |
Infranet 控制器 适用于 JSA 的瞻博网络 Infranet 控制器 DSM 现在被称为 Pulse Secure Infranet 控制器。 |
|||||
瞻博网络 |
防火墙和 VPN v5.5r3 及更高版本 |
Syslog |
瞻博网络防火墙活动 |
是的 |
是的 |
是的 |
瞻博网络 |
Junos OS WebApp Secure v4.2.x |
Syslog |
事件和访问事件 |
是的 |
不 |
不 |
瞻博网络 |
IDP v4.0、v4.1 & v5.0 |
Syslog |
瞻博网络 IDP 活动 |
是的 |
不 |
是的 |
瞻博网络 |
网络和安全管理器 (NSM) 和瞻博网络 SSG v2007.1r2 至 2007.2r2、2008.r1、2009r1.1、2010.x |
Syslog |
瞻博网络 NSM 活动 |
是的 |
不 |
是的 |
瞻博网络 |
Junos OS 7.x 至 10.x Ex 系列 以太网交换机 DSM 仅支持 9.0 到 10.x |
系统日志或 PCAP 系统日志*** |
所有活动 |
是的** |
是的 |
是的 |
瞻博网络 |
安全接入 RA 瞻博网络安全接入现在被称为 Pulse Secure Pulse Connect Secure。 |
|||||
瞻博网络 |
瞻博网络安全二进制日志收集器 12.1 或更高版本的 SRX 或 J 系列设备 |
二 进 制 |
审计、系统、防火墙和 IPS 事件 |
不 |
不 |
是的 |
瞻博网络 |
Steel-Belted Radius 5.x 及更高版本 |
Syslog |
所有活动 |
是的 |
是的 |
是的 |
瞻博网络 |
vGW 虚拟网关 4.5 瞻博网络 vGW 虚拟网关产品已终止生命周期 (EOL),瞻博网络不再提供支持。 |
Syslog |
防火墙、管理员、策略和 IDS 日志事件 |
是的 |
不 |
不 |
瞻博网络 |
无线 LAN 控制器 具有移动系统软件 (MSS) V7.6 及更高版本的无线 LAN 设备 |
Syslog |
所有活动 |
是的 |
不 |
不 |
卡巴斯基 |
安全中心 9.2 及更高版本 |
JDBC、LEEF |
防病毒、服务器和审计事件 |
不 |
是的 |
不 |
卡巴斯基 |
Kaspersky CyberTrace |
Syslog |
检测、状态、评估 |
是的 |
不 |
不 |
Kubernetes |
Kubernetes 审计 支持的版本:Kubernetes API 1.16 |
Syslog |
事件格式:JSON 事件类型:RequestReceived、ResponseStarted、ResponseComplete |
是的 |
不 |
是的 |
Kisco |
Kisco 信息系统 SafeNet/i 10.11 |
日志文件 |
所有活动 |
不 |
不 |
不 |
最后一行 |
最后一行企业 6.0 |
LEEF |
反恶意软件 |
是的 |
不 |
不 |
利伯曼 |
随机密码管理器 4.8x |
Syslog |
所有活动 |
是的 |
不 |
不 |
LightCyber |
LightCyber Magna 3.9 |
系统日志、LEEF |
C&C、泄露、横向、恶意软件和侦察 |
是的 |
不 |
不 |
Linux |
开源 Linux OS 2.4 及更高版本 |
Syslog |
操作系统事件 |
是的 |
是的 |
不 |
Linux |
DHCP 服务器 2.4 及更高版本 |
Syslog |
来自 DHCP 服务器的所有事件 |
是的 |
是的 |
不 |
Linux |
IPtables 内核 2.4 及更高版本 |
Syslog |
接受、丢弃或拒绝事件 |
是的 |
不 |
不 |
Mcafee |
McAfee 应用程序 /变更控制 v4.5.x |
Jdbc |
变更管理事件 |
不 |
是的 |
不 |
Mcafee |
McAfee 电子策略编排器 3.5 到 5.10 |
JDBC:3.5 到 5.9 SNMPv1、SNMPv2、SNMPv3:3.5 到 5.9 TLS 系统日志:5.10 |
防病毒事件 |
不 |
不 |
不 |
Mcafee |
McAfee MVISION 云 2.4 和 3.3(以前称为 Skyhigh Networks 云安全平台) |
Syslog |
事件格式: 日志事件扩展格式 (LEEF) 录制的事件类型: 权限访问、内部威胁、遭到入侵的帐户、访问、管理、数据、策略和审计 |
是的 |
不 |
不 |
Mcafee |
McAfee 网络安全平台 2.x - 5.x 以前称为 McAfee Intrushield) |
Syslog |
警报通知事件 |
是的 |
不 |
不 |
Mcafee |
McAfee 网络安全平台 6.x - 7.x 和 8.x - 10.x 以前称为 McAfee Intrushield) |
Syslog |
警报和故障通知事件 |
是的 |
不 |
不 |
Mcafee |
McAfee Web 6.0.0 及更高版本 |
系统日志、日志文件协议 |
所有活动 |
是的 |
不 |
不 |
MetaInfo |
MetaIP 5.7.00-6059 及更高版本 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
微软 | Microsoft 365 Defender
注意:
Microsoft Windows Defender ATP DSM 现在是 Microsoft 365 Defender DSM。DSM RPM 名称仍为 JSA 中的 Microsoft Windows Defender ATP。 |
用于端点 SIEM REST API 的 Microsoft Defender Microsoft Azure 事件中心 |
事件格式:JSON Microsoft 365 Defender DSM 在您使用 Microsoft Azure 事件中心协议时支持以下事件: 警报(仅面向端点的 Microsoft Defender 支持警报)::
装置:
电子邮件:
当您使用 Microsoft Defender for Endpoint REST API 协议时,Microsoft 365 Defender DSM 支持以下事件:
|
是的 | 是的 | 不 |
微软 |
Microsoft Azure Active Directory |
Microsoft Azure 事件中心 |
事件格式:JSON 录制的事件类型: 登录日志、审计日志 |
是的 |
不 |
不 |
微软 |
Microsoft Azure 平台 |
Microsoft Azure 事件中心 |
事件格式:JSON 记录的事件类型:平台级活动日志 |
是的
注意:
此 DSM 会自动发现从活动日志直接转发到事件中心的活动日志事件。 |
不 |
不 |
微软 |
Microsoft Azure 安全中心 |
Microsoft 图形安全 API |
事件格式:JSON 记录的事件类型:安全警报 |
不 |
不 |
不 |
微软 |
DNS 调试 支持的版本: Windows Server 2016、Windows Server 2012 R2、Windows Server 2008 R2 |
WinCollect Microsoft DNS 调试 |
LEEF |
是的 |
是的 |
不 |
微软 |
CNC 6.0、7.0 和 8.x |
系统日志和 Wincollect |
HTTP 状态代码事件 |
是的 |
不 |
不 |
微软 |
互联网和加速 (ISA) 服务器或威胁管理网关 2006 |
系统日志和 Wincollect |
ISA 或 TMG 事件 |
是的 |
不 |
不 |
微软 |
Exchange 服务器 2003、2007、2010、2013 和 2016 |
Windows Exchange 协议 |
Outlook Web 访问事件 (OWA) 简单邮件传输协议事件 (SMTP) 消息跟踪协议事件 (MSGTRK) |
不 |
不 |
不 |
微软 |
端点保护 2012 |
Jdbc |
恶意软件检测事件 |
不 |
不 |
不 |
微软 |
Hyper V 支持的版本: Windows 服务器 2016 Windows Server 2012(最新) Windows Server 2012 Core Windows Server 2008(最新版) Windows Server 2008 Core Windows 10(最新版) Windows 8(最新版) Windows 7(最新版) Windows Vista(最新) |
WinCollect |
所有活动 |
不 |
不 |
不 |
微软 |
IAS 服务器 v2000、2003 和 2008 |
Syslog |
所有活动 |
是的 |
不 |
不 |
微软 |
Microsoft Office 365 |
Office 365 REST API |
Json |
不 |
不 |
不 |
微软 |
Microsoft Office 365 消息跟踪 |
Office 365 消息追踪 REST API |
事件格式:JSON 事件类型:电子邮件安全威胁分类 |
不 |
不 |
不 |
微软 |
Microsoft Windows Defender ATP |
Microsoft Defender for Endpoint REST API |
事件格式:JSON 事件类型: Windows Defender ATP Windows 防御者防病毒 第三方 TI 客户 TI Bitdefender |
不 |
不 |
不 |
微软 |
Microsoft Windows 事件日志 v2000、2003、2008、XP、Vista 和 Windows 7(支持 32 位或 64 位系统) 支持的版本: Windows 服务器 2016 Windows Server 2012(最新) Windows Server 2012 Core Windows Server 2008(最新版) Windows 10(最新版) Windows 8(最新版) Windows 7(最新版) Windows Vista(最新) |
Syslog 转发 TLS 系统日志 TCP 多行系统日志 Windows 事件日志 (WMI) Windows 事件日志自定义 (WMI) MSRPC WinCollect Wincollect NetApp 数据 ONTAP |
所有活动,包括 Sysmon winlogbeats.json |
是的 |
是的 |
是的 |
微软 |
SQL Server 2008、2012、2014(仅限企业版)和 2016 |
系统日志、JDBC 和 Wincollect |
SQL 审计事件 |
不 |
不 |
不 |
微软 |
SharePoint 2010 和 2013 |
Jdbc |
SharePoint 审核、站点和文件事件 |
不 |
不 |
不 |
微软 |
DHCP 服务器 2000/2003 |
系统日志和 Wincollect |
所有活动 |
是的 |
是的 |
不 |
微软 |
2005 年运维经理 |
Jdbc |
所有活动 |
不 |
不 |
不 |
微软 |
2007 年系统中心运维经理 |
Jdbc |
所有活动 |
不 |
不 |
不 |
摩托罗拉 |
符号接入点固件 1.1 到 2.1 |
Syslog |
所有活动 |
不 |
不 |
不 |
NCC Group |
NCC 组 DDos 5.13.1-2s 至 516.1-0 |
Syslog |
活动格式:LEEF 事件类型:所有事件 |
是的 |
不 |
不 |
尼亚拉 |
尼亚拉 1.6 |
Syslog |
安全 系统 内部活动 外泄 外泄 命令与控制 |
是的 |
不 |
是的 |
NetApp |
数据 ONTAP |
Wincollect NetApp 数据 ONTAP |
CIFS 事件 |
是的 |
是的 |
不 |
Netgate |
Netgate pfSense |
Syslog |
系统 防火墙 Dns DHCP(当您使用 Linux DHCP DSM 时) |
是的 |
是的 |
不 |
Netskope |
Netskope Active |
Netskope 主动 REST API |
警报,所有事件 |
不 |
是的 |
不 |
Nginx |
NGINX HTTP 服务器 1.15.5 |
Syslog |
系统日志、标准系统日志 |
是的 |
不 |
不 |
尼克松 |
NetVCR 2005 v3.x |
Syslog |
Niksun 活动 |
不 |
不 |
不 |
诺基亚 |
防火墙 NG FP1、FP2、FP3、AI R54、AI R55、IPSO v3.8 及更高版本上的 NGX |
系统日志或 OPSEC LEA |
所有活动 |
是的 |
是的 |
不 |
诺基亚 |
VPN-1 NG FP1、FP2、FP3、AI R54、AI R55、IPSO v3.8 及更高版本上的 NGX |
系统日志或 OPSEC LEA |
所有活动 |
是的 |
是的 |
不 |
提名
注意:
用于 JSA 的被提名 Vantio DSM 已弃用 |
Vantio v5.3 |
Syslog |
所有活动 |
是的 |
不 |
不 |
Nortel |
连接性 |
Syslog |
所有活动 |
是的 |
不 |
不 |
Nortel |
应用程序交换机 v3.2 及更高版本 |
Syslog |
状态和网络状况事件 |
不 |
是的 |
不 |
Nortel |
ARN v15.5 |
Syslog |
所有活动 |
是的 |
不 |
不 |
Nortel* |
以太网路由交换机 2500 v4.1 |
Syslog |
所有活动 |
不 |
是的 |
不 |
Nortel* |
以太网路由交换机 4500 v5.1 |
Syslog |
所有活动 |
不 |
是的 |
不 |
Nortel* |
以太网路由交换机 5500 v5.1 |
Syslog |
所有活动 |
不 |
是的 |
不 |
Nortel |
以太网路由交换机 8300 v4.1 |
Syslog |
所有活动 |
不 |
是的 |
不 |
Nortel |
以太网路由交换机 8600 v5.0 |
Syslog |
所有活动 |
不 |
是的 |
不 |
Nortel |
VPN 网关 v6.0、7.0.1 及更高版本、v8.x |
Syslog |
所有活动 |
是的 |
是的 |
不 |
Nortel |
安全路由器 v9.3、v10.1 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
Nortel |
安全网络接入交换机 v1.6 和 v2.0 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
Nortel |
交换式防火墙 5100 v2.4 |
系统日志或 OPSEC |
所有活动 |
是的 |
是的 |
不 |
Nortel |
交换式防火墙 6000 v4.2 |
系统日志或 OPSEC |
所有活动 |
是的 |
是的 |
不 |
Nortel |
威胁防御系统 v4.6 和 v4.7 |
Syslog |
所有活动 |
不 |
不 |
不 |
Novell |
eDirectory v2.7 |
Syslog |
所有活动 |
是的 |
不 |
不 |
观察IT |
观察IT 5.7.x 及更高版本 |
Jdbc |
警报 用户活动 系统事件 会话活动 DBA 活动 |
不 |
是的 |
不 |
Okta |
Okta 身份管理 |
Okta REST API |
Json |
不 |
是的 |
不 |
Onapsis |
Onapsis 安全平台 v1.5.8 及更高版本 |
日志事件扩展格式 (LEEF) |
评估 攻击签名 相关 合 规 |
是的 |
不 |
不 |
OpenBSD 项目 |
OpenBSD v4.2 及更高版本 |
Syslog |
所有活动 |
不 |
是的 |
不 |
开放信息安全基金会 (OISF) | Suratica v6.0.3 及更低版本 | Syslog TLS 系统日志 |
事件格式:JSON 记录的事件类型:警报 |
是的 | 不 | 不 |
开放 LDAP 基础 |
开放式 LDAP 2.4.x |
UDP 多线路系统日志 |
所有活动 |
不 |
不 |
不 |
开源 |
SNORT v2.x |
Syslog |
所有活动 |
是的 |
不 |
不 |
OpenStack |
OpenStack v2015.1 |
HTTP Reciever |
审计事件 |
不 |
不 |
不 |
甲骨文 |
Oracle RDBMS 审计记录版本 9i、10g、 11g、12c(包括统一审计) |
系统日志 JDBC |
事件格式:名称-值对 记录的事件类型:审计记录 |
不 |
是的 |
不 |
甲骨文 |
审计保管库 v10.2.3.2 和 V12.2 |
Jdbc |
AVSYS 中的所有审计记录。AV$ALERT_STORE 表,适用于 V10.3,或从自定义 AVSYS。V12.2 的AV_ALERT_STORE_V视图。 |
不 |
是的 |
不 |
甲骨文 |
Oracle OS Audit 9i、10g 和 11g |
Syslog |
事件格式:名称-值对 (NVP) 事件类型:Oracle 事件 |
是的 |
是的 |
不 |
甲骨文 |
Oracle BEA WebLogic 12.2.1.3.0 |
日志文件 |
甲骨文活动 |
不 |
不 |
不 |
甲骨文 |
Oracle 数据库侦听器 9i、10g 和 11g |
Syslog |
甲骨文活动 |
是的 |
不 |
不 |
甲骨文 |
Oracle 目录服务器 (以前称为 Sun ONE LDAP)。 |
|
|
|
|
|
甲骨文 |
Oracle 细粒度审计 9i 和 10g |
Jdbc |
为使用策略配置的表选择、插入、删除或更新事件 |
不 |
不 |
不 |
不适用 |
操作系统 3.3.2 |
Syslog TCP 多行系统日志 |
事件格式:JSON 事件类型:访问审核身份验证系统 |
不 |
不 |
是的 |
OSSEC |
OSSEC 2.6 及更高版本 |
Syslog |
所有相关 |
是的 |
不 |
不 |
Palo Alto Networks |
帕洛阿尔托 PA 系列 |
Syslog TLS 系统日志 |
事件类型: 交通 威胁 配置 系统 HIP 匹配 认证 隧道检测 相关 Sctp 文件数据 GTP HIP 匹配 IP 标记 全局保护 -
注意:
要使用此日志类型,必须在 Palo Alto PA 系列设备上启用 EventStatus 字段。 事件格式: 用于 PAN-OS v3.0 到 v10.1 的 LEEF 和 Prisma Access v2.1 PAN-OS v4.0 至 v6.1 的 CEF (CEF:0)支持) |
是的 |
是的 |
不 |
Palo Alto Networks |
Palo Alto 端点安全管理器 3.4.2.17401 |
Syslog |
代理 配置 政策 政策 威胁 事件格式:CEF (CEF:0)),LEEF |
是的 |
不 |
不 |
皮伦 |
接入:一个 2.2 和 DB2 9.7 |
Jdbc |
访问管理和身份验证事件 |
不 |
不 |
不 |
后缀 |
邮件传输代理 2.6.6 及更高版本 |
UDP 多线协议或系统日志 |
邮件事件 |
不 |
不 |
不 |
ProFTPd |
ProFTPd 1.2.x、1.3.x |
Syslog |
所有活动 |
是的 |
是的 |
不 |
证据点 |
Proofpoint 企业保护和企业隐私版本 7.0.2、7.1 或 7.2 |
Syslog |
系统、电子邮件审计、电子邮件加密和电子邮件安全威胁分类事件 |
不 |
不 |
不 |
Pulse Secure |
Pulse Secure Infranet 控制器 2.1、3.1 和 4.0 |
Syslog |
所有活动 |
不 |
是的 |
是的 |
Pulse Secure |
Pulse Secure Pulse Connect Secure 8.2R5 |
Syslog TLS 系统日志 |
事件格式: 管理员、身份验证、系统、网络、错误 事件类型: 所有活动 |
是的 |
是的 |
是的 |
Radware |
AppWall 6.5.2 和 8.2 |
Syslog |
事件格式:Vision Log 录制的事件类型: 管理 审计 学习 安全 系统 |
是的 |
不 |
不 |
Radware |
DefensePro 4.23、5.01、6.x 和 7.x |
Syslog |
所有活动 |
是的 |
不 |
不 |
Raz-Lee iSecurity |
AS/400 i系列防火墙 15.7 和审计 11.7 |
Syslog |
安全合规性、防火墙和审计事件 |
是的 |
是的 |
不 |
Redback Networks |
ASE 6.1.5 |
Syslog |
所有活动 |
是的 |
不 |
不 |
解决方案1 |
解决方案 1 网络安全 以前称为 AccessData InSight 解决方案 1 网络安全。 |
日志文件 |
易失数据、内存分析数据、内存获取数据、收集数据、软件库存、流程转储数据、威胁扫描数据、代理修复数据 |
不 |
不 |
不 |
河床 |
SteelCentral NetProfiler |
Jdbc |
警报事件 |
不 |
不 |
不 |
河床 |
SteelCentral NetProfiler 审计 |
日志文件协议 |
审计事件 |
不 |
是的 |
不 |
Rsa |
身份验证管理器 6.x、7.x 和 8.x |
v6.x 和 v7.x 使用系统日志或日志文件协议 v8.x 仅使用系统日志 |
所有活动 |
不 |
不 |
不 |
SafeNet |
DataSecure 6.3.0 及更高版本 |
Syslog |
所有活动 |
是的 |
不 |
不 |
Salesforce |
安全审计 |
日志文件 |
设置审计记录 |
不 |
不 |
不 |
Salesforce |
安全监控 |
Salesforce REST API 协议 |
登录历史记录 帐户历史记录 案例历史记录 授权历史记录 服务合同历史记录 合同行项目历史记录 合同历史 联系历史 潜在客户历史 机会历史 解决方案历史 |
不 |
是的 |
不 |
Samhain Labs |
HIDS 2.4 |
Syslog Jdbc |
所有活动 |
是的 |
不 |
不 |
Sap |
SAP 企业威胁检测 sp6 |
SAP 企业威胁检测警报 API |
LEEF |
不 |
不 |
不 |
安全隔离 |
Seculert v1 |
Seculert Protection REST API 协议 |
所有恶意软件通信事件 |
不 |
不 |
不 |
安全隔离 |
安全隔离 |
Seculert 保护 REST API Protoco |
所有恶意软件通信事件 |
不 |
不 |
不 |
Sentrigo |
刺猪 2.5.3 |
Syslog |
所有活动 |
是的 |
不 |
不 |
Skyhigh Networks (现在称为 McAfee) |
Skyhigh Networks 云安全平台 2.4 和 3.3 (现在称为 McAfee MVISION 云 2.4 和 3.3) |
|||||
SolarWinds |
SolarWinds Orion 2011.2 |
Syslog |
所有活动 |
是的 |
不 |
不 |
SonicWALL |
UTM/防火墙/VPN 设备 3.x 及更高版本 |
Syslog |
所有活动 |
是的 |
不 |
不 |
Sophos |
Sophos Astaro 安全网关 17.x |
Syslog |
所有活动 |
是的 |
不 |
不 |
Sophos |
Sophos 企业控制台 4.5.1 和 5.1 |
Sophos 企业控制台协议 Jdbc |
所有活动 |
不 |
不 |
不 |
Sophos |
Sophos PureMessage 3.1.0.0 及更高版本,适用于 Linux 的 Microsoft Exchange 5.6.0 |
Jdbc |
隔离的电子邮件事件 |
不 |
不 |
不 |
Sophos |
Sophos Web Security 设备 3.x |
Syslog |
事件日志事件 |
是的 |
不 |
不 |
源火 |
源火入侵传感器是 500、2.x、3.x、4.x |
Syslog |
所有活动 |
是的 |
不 |
不 |
源火 |
源火防御中心 (现在称为 Cisco FireSIGHT 管理中心) |
源火防御中心 |
所有活动 |
不 |
不 |
不 |
斯普伦克 |
Microsoft Windows 安全事件日志 |
Splunk 转发器提供的基于 Windows 的事件 |
所有活动 |
不 |
是的 |
不 |
鱿鱼 |
Squid Web 代理 2.5 及更高版本 |
Syslog |
所有缓存和访问日志事件 |
是的 |
不 |
不 |
入门网络 |
入门网络 |
Syslog |
所有活动 |
是的 |
不 |
不 |
STEALTHbits Technologies |
STEALTHbits 文件活动监视器 |
系统日志 LEEF |
文件活动监控事件 |
|||
STEALTHbits Technologies |
StealthIntercept |
系统日志 LEEF |
Active Directory 审计事件 |
是的 |
不 |
不 |
STEALTHbits Technologies |
StealtBits StealthIntercept 警报 |
系统日志 LEEF |
Active Directory 警报事件 |
是的 |
不 |
不 |
STEALTHbits Technologies |
STEALTHbits StealthINTERCEPT Analytics |
系统日志 LEEF |
Active Directory Analytics 事件 |
是的 |
不 |
不 |
斯通软件 |
管理中心 v5.4 |
Syslog |
管理中心、IPS、防火墙和 VPN 事件 |
是的 |
不 |
不 |
太阳 |
Sun Solaris DHCP 2.8 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
太阳 |
Sun Solaris OS 5.8、5.9 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
太阳 |
Sun Solaris Sendmail 2.x |
Syslog 日志文件协议 证据点 7.5 和 8.0 Sendmail 日志 |
所有活动 |
是的 |
不 |
不 |
太阳 |
Sun Solaris 基本安全模式 (BSM) 5.10 和 5.11 |
日志文件协议 |
所有活动 |
不 |
是的 |
不 |
太阳 |
Sun ONE LDAP v11.1 (称为 Oracle Directory 服务器) |
日志文件协议 UDP 多线路系统日志 |
所有相关访问和 LDAP 事件 |
不 |
不 |
不 |
Sybase |
Sybase ASE 15.0 及更高版本 |
Jdbc |
所有活动 |
不 |
不 |
不 |
赛门铁克 |
Symantec 端点防御 11、12 和 14 |
Syslog |
所有审计和安全日志 |
是的 |
不 |
是的 |
赛门铁克 |
Symantec SGS 设备 3.x 及更高版本 |
Syslog |
所有活动 |
是的 |
不 |
是的 |
赛门铁克 |
赛门铁克 SSC 10.1 |
Jdbc |
所有活动 |
是的 |
不 |
不 |
赛门铁克 |
Symantec Data Loss Prevention (DLP) 8.x 及更高版本 |
Syslog |
所有活动 |
不 |
不 |
不 |
赛门铁克 |
Symantec 加密管理服务器 3.0 倍 以前称为 PGP 通用服务器 |
Syslog |
所有活动 |
是的 |
不 |
不 |
Symark |
Symark PowerBroker 4.0 |
Syslog |
所有活动 |
是的 |
不 |
不 |
SysFlow 是由 IBM 发起的一个开源项目。 |
SysFlow 1.0 |
Syslog |
事件格式:JSON 记录的事件类型:SysFlow |
是的 |
不 |
不 |
ThreatGRID |
恶意软件威胁情报平台 v2.0 |
日志文件协议 Syslog |
恶意软件事件 |
不 |
不 |
不 |
引爆点 |
入侵防御系统 (IPS) 1.4.2 到 3.2.x 提示点短信 5.2.0 |
Syslog |
所有活动 |
不 |
不 |
不 |
引爆点 |
X505/X506 2.5 及更高版本 |
Syslog |
所有活动 |
是的 |
是的 |
不 |
顶层 |
IPS 5500 4.1 及更高版本 |
Syslog |
所有活动 |
是的 |
不 |
不 |
趋势科技 |
Trend Micro Apex Central(版本 1) |
系统日志、TLS 系统日志 |
事件格式:CEF 事件类型: 攻击发现检测日志 行为监控日志 C&C 回叫日志 内容安全日志 数据丢失防御日志 设备访问控制日志 端点应用程序控制日志 引擎更新状态日志 网络内容检查日志 模式更新状态日志 预测性机器学习日志 沙盒检测日志 间谍软件/灰色软件日志 可疑文件日志 病毒/恶意软件日志 Web 安全日志 |
是的 |
不 |
不 |
趋势科技 | Trend Micro Apex One 8.x 和 10.x 以前称为趋势微 Office 扫描。JSA 中的名称保持不变。 |
SNMPv2 | 所有活动 | 不 | 不 | 不 |
趋势科技 |
趋势微控制管理器 5.0 或 5.5 与补图 1697 或后 SP1 补丁 1713 |
SNMPv1 SNMPv2 SNMPv3 |
所有活动 |
是的 |
不 |
不 |
趋势科技 |
趋势 Micro 深度发现分析器 5.0、5.5、5.8 和 6.0 |
LEEF |
所有活动 |
是的 |
不 |
不 |
趋势科技 |
趋势微深度发现电子邮件检查器 3.0 |
日志事件扩展格式 (LEEF) |
检测、虚拟分析器分析日志、系统事件、警报事件 |
是的 |
不 |
不 |
趋势科技 |
Trend Micro 深度发现检查器 3.0 到 3.8、5.0 和 5.1 |
日志事件扩展格式 (LEEF) |
恶意内容 恶意行为 可疑行为 利用 灰色软件 网络声誉 颠覆性应用 沙 箱 相关 系统 更新 |
是的 |
不 |
不 |
趋势科技 |
趋势科技深度安全 9.6.1532 至 12.0 |
日志事件扩展格式 (LEEF) |
反恶意软件 深度安全 防火墙 完整性监控 入侵防御 日志检测 系统 网络声誉 |
是的 |
不 |
不 |
Tripwire |
Enterprise Manager 5.2 及更高版本 |
Syslog |
事件格式:CEF (CEF:0)支持) 事件类型:资源添加、删除和修改事件 |
是的 |
不 |
不 |
Tropos Networks |
对流控制 7.7 |
Syslog |
故障管理、登录/退出、调配和设备图像上传事件 |
不 |
不 |
不 |
受托人 |
Apex 本地事件聚合器 1304.x 及更高版本 |
Syslog |
恶意软件、漏洞和数据泄露检测事件 |
是的 |
不 |
不 |
Vectra Networks |
Vectra Networks Vectra 2.2 |
Syslog |
主机评分,命令和控制,僵尸网络活动,重新部署,横向移动,外泄 事件格式:CEF (CEF:0)支持) |
是的 |
不 |
不 |
Verdasys |
Digital Guardian 6.0.x(仅限系统日志) 数字卫报 6.1.1 和 7.2(仅限 LEEF) |
Syslog |
活动格式:LEEF 活动:所有活动 |
是的 |
不 |
不 |
Vericept |
内容 360 最高 8.0 |
Syslog |
所有活动 |
是的 |
不 |
不 |
Vmware |
VMware AppDefense 1.0 |
Json VMWare 应用程序防御 API 协议 |
所有活动 |
不 |
不 |
不 |
Vmware |
Carbon Black 应用程序控制 8.0.x 到 8.5.x (以前称为碳黑保护) |
Syslog |
活动格式:LEEF 事件类型:计算机管理、服务器管理、会话管理、策略管理、策略实施、内部事件、常规管理、发现 |
是的 |
是的 |
不 |
Vmware |
VMware ESX 或 ESXi 3.5.x、4.x、5.x 和 6.x |
Syslog VMWare 协议 |
帐户信息 通知 警告 错误 系统信息 系统配置 系统错误 用户登录 杂项可疑事件 访问被拒绝 许可证已过期 信息 认证 会话跟踪 |
如果系统日志,则为 |
不 |
不 |
Vmware |
VMware vCenter v5.x 和 v6.x |
VMWare 协议 |
帐户信息 通知 警告 错误 系统信息 系统配置 系统错误 用户登录 杂项可疑事件 访问被拒绝 许可证已过期 信息 认证 会话跟踪 |
不 |
不 |
不 |
Vmware |
VMware vCloud Director 5.1- 10.0 |
vCloud Director 协议 |
所有活动 |
不 |
是的 |
不 |
Vmware |
VMware vShield |
Syslog |
所有活动 |
是的 |
不 |
不 |
Vormetric, Inc. |
Vormetric 数据安全性 |
系统日志 (LEEF) |
审计 报警 警告 学习模式 系统 |
是的 |
不 |
不 |
守门人 |
WatchGuard Fireware OS |
Syslog |
所有活动 |
是的 |
不 |
不 |
Websense (现在称为 Forcepoint) |
||||||
Zscaler |
Zscaler 纳米流服务 (Zscaler NSS) 6.0 |
Syslog |
事件格式:LEEF 事件类型:Web 日志事件、防火墙 事件类型:Web 日志事件、防火墙事件(包括 DNS) |
是的 |
不 |
不 |
Zscaler |
Zscaler 专用接入 |
Syslog |
活动格式:LEEF 事件类型:应用程序连接器状态、审核、用户状态 |
是的 |
不 |
不 |