الأحداث المصدرة إلى تنسيق CEF
لتصفية سجلات الأحداث المرسلة إلى Syslog، أنشئ إعلام بفئة السجل باستخدام عامل تصفية محدد.
CEF هو تنسيق سجل قائم على النص تم تطويره من قبل ArcSight™. يتضمن تنسيق CEF رأس CEF وملحق CEF. يحتوي الملحق على قائمة أزواج القيم الرئيسية.
رأس CEF
رأس |
مثال |
الوصف |
|---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
الأحدث ESET PROTECT |
Device Event Class ID (Signature ID): |
109 |
المعرّف الفريد لفئة أحداث الجهاز:
|
Event Name |
Detected port scanning attack |
وصف موجز لما حدث في الحدث |
Severity |
5 |
الخطورة 0–10 |
ملحقات CEF الشائعة لجميع الفئات
اسم الملحق |
مثال |
الوصف |
|---|---|---|
cat |
ESET Threat Event |
فئة الحدث:
|
dvc |
10.0.12.59 |
عنوان IPv4 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
عنوان IPv6 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
اسم المضيف لجهاز الكمبيوتر مع الحدث |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
UUID لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. |
flexString1 |
Lost & Found |
اسم المجموعة لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث |
flexString1Label |
Device Group Name |
|
rt |
Jun 04 2017 14:10:0 |
توقيت UTC لحدوث الحدث. التنسيق هو %b %d %Y %H:%M:%S |
ملحقات CEF حسب فئة الحدث
أحداث التهديد
اسم الملحق |
مثال |
الوصف |
|---|---|---|
cs1 |
W97M/Kojer.A |
تم العثور على اسم التهديد |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
إصدار محرك الكشف |
cs2Label |
Engine Version |
|
cs3 |
Virus |
نوع الاكتشاف |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
مُعرّف الماسح |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
مُعرّف المسح |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
رسالة خطأ تظهر إذا لم يكن "الإجراء" ناجحاً |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
وصف مختصر لسبب الحدث |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
SHA1 مزيج دفق البيانات (الاكتشاف) |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
تم اتخاذ الإجراء من قبل نقطة النهاية |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
الكائن URI |
fileType |
File |
نوع الكائن المرتبط بالحدث |
cn1 |
1 |
تمت معالجة الاكتشاف (1) أو لم تتم معالجته (0) |
cn1Label |
Handled |
|
cn2 |
0 |
إعادة التشغيل مطلوبة (1) أو غير مطلوبة (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
اسم حساب المستخدم المرتبط بالحدث |
sprod |
C:\\7-Zip\\7z.exe |
اسم عملية مصدر الحدث |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
الوقت والتاريخ الذي تم فيه العثور على الاكتشاف لأول مرة على الجهاز. التنسيق هو %b %d %Y %H:%M:%S |
مثال على سجل CEF لحدث التهديد:
أحداث جدار الحماية
اسم الملحق |
مثال |
الوصف |
|---|---|---|
msg |
TCP Port Scanning attack |
اسم الحدث |
src |
127.0.0.1 |
عنوان IPv4 لمصدر الحدث |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
عنوان IPv6 لمصدر الحدث |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
منفذ مصدر الحدث |
dst |
127.0.0.2 |
عنوان IPv4 لوجهة الحدث |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
عنوان IPv6 لوجهة الحدث |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
منفذ وجهة الحدث |
proto |
http |
البروتوكول |
act |
Blocked |
تم الإجراء |
cn1 |
1 |
تمت معالجة الاكتشاف (1) أو لم تتم معالجته (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
اسم حساب المستخدم المرتبط بالحدث |
deviceProcessName |
someApp.exe |
اسم العملية المرتبطة بالحدث |
deviceDirection |
1 |
كان الاتصال وارداً (0) أو صادراً (1) |
cnt |
3 |
عدد الرسائل نفسها التي تم إنشاؤها من قبل نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين ESET PROTECT وعامل ESET Management |
cs1 |
|
مُعرّف القاعدة |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
اسم القاعدة |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
اسم التهديد |
cs3Label |
Threat Name |
|
مثال على سجل CEF لحدث جدار الحماية:
HIPS أحداث
اسم الملحق |
مثال |
الوصف |
|---|---|---|
cs1 |
Suspicious attempt to launch an application |
مُعرّف القاعدة |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
اسم القاعدة |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
اسم التطبيق |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
التشغيل |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
الهدف |
cs5Label |
Target |
|
act |
Blocked |
تم الإجراء |
cs2 |
custom_rule_12 |
اسم القاعدة |
cn1 |
1 |
تمت معالجة الاكتشاف (1) أو لم تتم معالجته (0) |
cn1Label |
Handled |
|
cnt |
3 |
عدد الرسائل نفسها التي تم إنشاؤها من قبل نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين ESET PROTECT وعامل ESET Management |
مثال على سجل CEF لحدث نظام منع اختراق المضيف:
الأحداث التدقيق
اسم الملحق |
مثال |
الوصف |
|---|---|---|
act |
Login attempt |
يتم اتخاذ الإجراء |
suser |
Administrator |
مستخدم الأمان متضمن |
duser |
Administrator |
مستخدم الأمان المستهدف (على سبيل المثال، من أجل محاولات تسجيل الدخول) |
msg |
Authenticating native user 'Administrator' |
وصف مفصل للإجراء |
cs1 |
Native user |
مجال سجل التدقيق |
cs1Label |
Audit Domain |
|
cs2 |
Success |
نتيجة الإجراء |
cs2Label |
Result |
|
مثال على سجل CEF لحدث التدقيق:
ESET Inspect أحداث
اسم الملحق |
مثال |
الوصف |
|---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
اسم العملية التي تسبب هذا الإنذار |
suser |
HP\\home |
مالك العملية |
cs2 |
custom_rule_12 |
اسم القاعدة التي تشغل هذا الإنذار |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
مزيج SHA1 للتنبيه |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
رابط إلى التنبيه في وحدة التحكم على شبكة الإنترنت لـ ESET Inspect |
cs4Label |
EI Console Link |
|
cs5 |
126 |
معرف الجزء الفرعي لرابط الإنذار ($1 في ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
درجة خطورة جهاز الكمبيوتر |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
درجة خطورة القاعدة |
cn2Label |
SeverityScore |
|
cnt |
3 |
عدد التنبيهات من نفس النوع التي تم إنشاؤها منذ التنبيه الأخير |
مثال على سجل CEF لحدث ESET Inspect:
أحداث الملفات المحظورة
اسم الملحق |
مثال |
الوصف |
|---|---|---|
act |
Execution blocked |
تم الإجراء |
cn1 |
1 |
تمت معالجة الاكتشاف (1) أو لم تتم معالجته (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
اسم حساب المستخدم المرتبط بالحدث |
deviceProcessName |
C:\\Windows\\explorer.exe |
اسم العملية المرتبطة بالحدث |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
SHA1 تجزئة الملف المحظور |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
الكائن URI |
msg |
ESET Inspect |
وصف الملف المحظور |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
الوقت والتاريخ الذي تم فيه العثور على الاكتشاف لأول مرة على الجهاز. التنسيق هو %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
السبب |
cs2Label |
Cause |
|
مثال على سجل CEF لحدث الملفات المحظورة:
أحداث موقع الويب التي تمت تصفيتها
اسم الملحق |
مثال |
الوصف |
|---|---|---|
msg |
An attempt to connect to URL |
نوع الحدث |
act |
Blocked |
تم الإجراء |
cn1 |
1 |
تمت معالجة الاكتشاف (1) أو لم تتم معالجته (0) |
cn1Label |
Handled |
|
suser |
Peter |
اسم حساب المستخدم المرتبط بالحدث |
deviceProcessName |
Firefox |
اسم العملية المرتبطة بالحدث |
cs1 |
Blocked by PUA blacklist |
مُعرّف القاعدة |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
عنوان URL للطلب المحظور |
dst |
172.17.9.224 |
عنوان IPv4 لوجهة الحدث |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
عنوان IPv6 لوجهة الحدث |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
مُعرّف الماسح |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
SHA1 تجزئة الكائن الذي تمت تصفيته |
cs3Label |
Hash |
|