Unterstützte Datensätze

Chronicle kann Rohlogs von verschiedenen Unternehmen, Protokollen, Systemen und Geräten aufnehmen. In diesem Dokument werden die derzeit unterstützten Datensätze beschrieben und regelmäßig aktualisiert.

So erstellst du die aktuelle Liste der unterstützten Aufnahmelabels:

APIKEY="[[My_ApiKey]]"; curl --header "Content-Type: application/json" \
--request GET "https://malachiteingestion-pa.googleapis.com/v1/logtypes?key=${APIKEY}"

Informationen zur Aufnahme und Normalisierung von Daten finden Sie unter Übersicht über die Datenaufnahme in Chronicle.

Eine Liste der unterstützten Standardparser finden Sie unter Unterstützte Standardparser.

Zugriffsverwaltung

  • OpenAM

Erweitertes Sicherheitssystem

  • Microsoft Defender für Endpunkt

Alerts

  • AlphaSOC
  • Carbon Black Defense
  • Cisco ASA
  • CrowdStrike
  • Feueraugen
  • Microsoft Advanced Threat Analytics
  • Microsoft Windows Graph API-Benachrichtigungen
  • Netskope
  • Palo Alto Networks
  • Schnorcheln
  • Suricata
  • Zscaler

Amazon Web Services (AWS)

  • AWS Cloudtrail
  • AWS-VPN-Ablauf

Antivirenprogramm

  • Bitdefender
  • Cisco AMP
  • ClamAV
  • Cylance Protect
  • Sophos-Virenschutz
  • Trend-Micro-AV

Anwendung

  • Microsoft Office 365
  • Salesforce
  • Arbeitstag

Audit

  • ManagedEngine ADAudit Plus

Authentifizierung

  • Aruba ClearPass
  • Azure AD
  • zentrieren
  • Cisco Access Control Server (ACS)
  • Cisco ISE
  • Duo
  • Okta
  • Vorzeitig beendet
  • RSA Authentication Manager Version 8.1
  • SecureAuth
  • SiteMinder Web Access Management
  • Symantec-SiteMinder
  • Thykotisch

Kennzeichen

  • Honeywell Pro-Smartwatch

Cloud Access Security Broker (CASB)

  • Microsoft CASB

Cloud

  • Ablauf für AWS Virtual Private Cloud (VPC)
  • Google Cloud-Cloud-Audit-Logs
  • VPC-Flusslogs in Google Cloud
  • Google Cloud Compute-Kontext
  • Microsoft Cloud Access Security Broker (CASB)
  • Salesforce

Zusammenarbeit

  • Box

Datenübertragung

  • IPSwitch-SFTP

Täuschung

  • Acalvio

DHCP

  • ASSET_STATIC_IP
  • Bro DHCP (JSON)
  • BT IP-Steuerung
  • Cisco DHCP
  • DHCP (PCAP)
  • Elastischer Paketbeat
  • Infoblox-DHCP
  • Linux-DHCP-Server
  • Microsoft DHCP
  • Nokia VitalQIP
  • Sophos-DHCP

DNS

  • BIND
  • Bro DNS (JSON)
  • BT IP-Steuerung
  • Cisco-Regenschirm
  • DNS (PCAP)
  • Elastischer Paketbeat
  • ExtraHop
  • F5 DNS
  • Google Cloud Cloud DNS
  • Infoblox-DNS
  • Microsoft DNS
  • Nokia VitalQIP
  • Umbrella-DNS
  • Ungebunden
  • Zscaler-DNS

EDR

  • Carbon Black Defense
  • Carbon Black Response
  • Check Point Sandlast
  • Cisco AMP
  • Crowd Strike
  • Digitaler Erziehungsberechtigter
  • Endspiel
  • SET
  • FireEye HX
  • LimaCharlie
  • McAfee Endpoint Security
  • Microsoft Defender für Endpunkt
  • Microsoft Sysmon
  • Trap: Palo Alto Networks
  • SentinelOne DV
  • SentinelOne-DR
  • Symantec-Endpunktschutz
  • Tanium
  • VMware-Analysetool

E-Mail

  • E-Mail-Sicherheit von Avanan
  • Barracuda-E-Mail

Verschlüsselung

  • Vormetric

Endpunkt

  • McAfee ePolicy Orchestrator

Dateianalysetool

  • Bro-Dateien (JSON)

Firewall

  • Barracuda Web Application Firewall
  • Bro CONN (JSON)
  • Prüfpunkt (Syslog)
  • Cisco ASA
  • Cisco FirePower
  • Intelligenter Proxy von Cisco Umbrella
  • Fortinet
  • Google Cloud Firewall-Logs
  • Imperva-WAF
  • SRX von Juniper Networks
  • Palo Alto Networks
  • SonicWall
  • Zscaler

Global

  • WhoisXML API

Honigtopf

  • Thinkst-Canary

Hypervisor

  • VMware ESXi (JSON)

Identitäts- und Zugriffsverwaltung

  • ForgeRock OpenAM
  • Okta-Nutzerkontext
  • Vorzeitige Authentifizierung

Identitätsverwaltung (IDM) und Privilegierte Zugriffsverwaltung (Privileged Access Management, PAM)

  • Bomgar
  • InternetCyberArk

Indikatoren für Manipulationen (IoC)

  • Anomalie
  • COVID-19 Cyber Threat Coalition
  • Crowd Strike IOC
  • CSV – benutzerdefinierter IOC
  • Ministerium für Heimatsicherheit (DHS)
  • Aufstrebender Threat Pro
  • ESET-IOC
  • Google SafeBrowsing
  • OSINT
  • Proofpoint ET Pro
  • Zukunft aufgenommen
  • RH-ISAC
  • ThreatConnect

Angriffserkennung und -prävention

  • AWS GuardDuty
  • IPS (Junper Intrusion Prevention System)
  • Microsoft Advanced Threat Analytics (ATA)
  • Logo: Sourcefire
  • Schnorcheln
  • Suricata

Load-Balancer

  • Citrix Netscaler
  • F5 BigIP LTM

Logaggregation und SIEM

  • McAfee-ESM
  • Wazu

E-Mail

  • Gmail
  • Mimecast
  • PostFix-E-Mail

E-Mail-Gateway

  • Microsoft Exchange
  • Proofpoint Mail
  • Proofpoint-TAP

Großrechner

  • CA ACF2
  • IBM Z/OS

Sonstige Microsoft Windows

  • Microsoft PowerShell

Mobilgeräteverwaltung

  • Absolute Mobilgeräteverwaltung

Netzwerkzugriffssteuerung (Network Access Control, NAC)

  • Logo: Forescout

Logo: Netflow

  • Cisco Stealthwatch
  • Google Cloud-VPC-Fluss

NDR (Network Detection and Response)

  • Vectra Cognito Detect
  • Vectra Cognito

Betriebssysteme

  • ManagedEngine ADAudit Plus
  • Microsoft Active Directory
  • Microsoft Windows
  • Nimble
  • Unix

Physische Sicherheit

  • DVP-Eintrag

Richtlinie

  • AlgoSec-Sicherheitsmanagement

Monitoring des privilegierten Kontos

  • Mehr als Vertrauen (Bomgar)

Remotezugriff

  • SecureLink

Router

  • Cisco

SaaS

  • Cloud Passage
  • Cloudflare
  • Google Workspace-Audit
  • McAfee Web Protection

Server

  • Microsoft Internet Information Services (IIS)
  • Microsoft SQL Server

Einmalanmeldung (SSO)

  • SSO über SSO

Wechseln

  • Cisco
  • SD-WAN von CloudGenix

Trafficverwaltung

  • F5 Big-IP Lokaler Traffic Manager (LTM)

Einheitliche Bedrohungsmanagement

  • Cisco Meraki

VPN

  • Cisco-VPN
  • F5-VPN
  • Pulse Connect Secure
  • Zscaler-VPN

Scannen auf Sicherheitslücken

  • Qualys

Web Application Firewall (WAF)

  • Citrix Netscaler
  • F5 ASM
  • Imperva-WAF

Web proxy

  • Blue Coat Proxys SG
  • Bro-HTTP (JSON)
  • Cisco-Regenschirm
  • Kraftpunkt
  • McAfee-Webproxy
  • McAfee Webproxy (MTC)
  • Netscope-Webproxy
  • Squid-Webproxy
  • Trend-Webweb-Proxy
  • Zscaler

Webserver

  • Microsoft IIS

Kabellos

  • Aruba Wireless
  • Cisco WLC (kabellos)
  • VMware AirWatch