ESET Online-Hilfe

Suche Deutsch
Wählen Sie eine Kategorie aus
Wählen Sie ein Thema aus

Export von Ereignissen im CEF-Format

Um die an Syslog gesendeten Ereignis-Logs zu filtern, wählen Sie Eine Benachrichtigung für die Log-Kategorie erstellen mit einem definierten Filter.

CEF ist ein textbasiertes Log-Format, das von ArcSight™ entwickelt wurde. Das CEF-Format enthält eine CEF-Kopfzeile und eine CEF-Erweiterung. Die Erweiterung enthält eine Liste der Schlüssel-Wert-Paare.

CEF-Kopfzeile

Kopfzeile

Beispiel

Beschreibung

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

ESET PROTECT version

Device Event Class ID (Signature ID):

109

Eindeutiger Bezeichner der Geräteereigniskategorie:

100–199 Bedrohungs-Ereignis

200–299 Firewall-Ereignis

300–399 HIPS Ereignis

400–499 Überwachungs-Ereignis

500–599 ESET Inspect ereignis

600–699 Ereignis mit blockierten Dateien

700–799 Ereignis mit gefilterten Websites

Event Name

Detected port scanning attack

Eine kurze Beschreibung der Ereignisse

Severity

5

0Schweregrad10

Für alle Kategorien gebräuchliche CEF-Erweiterungen

Erweiterungsname

Beispiel

Beschreibung

cat

ESET Threat Event

Ereigniskategorie:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

IPv4-Adresse des Computers, der das Ereignis generiert hat.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6-Adresse des Computers, der das Ereignis generiert hat.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Hostname des Computers mit dem Ereignis

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID des Computers, der das Ereignis generiert hat.

flexString1

Lost & Found

Der Gruppenname des Computers, der das Ereignis generiert hat

flexString1Label

Device Group Name

 

rt

Jun 04 2017 14:10:0

UTC-Zeitpunkt, zu dem das Ereignis aufgetreten ist. Das Format ist %b %d %Y %H:%M:%S

CEF-Erweiterungen nach Ereigniskategorie

Bedrohungs-Ereignisse

Erweiterungsname

Beispiel

Beschreibung

cs1

W97M/Kojer.A

Name der gefundenen Bedrohung

cs1Label

Threat Name

 

cs2

25898 (20220909)

Version der Erkennungsroutine

cs2Label

Engine Version

 

cs3

Virus

Ereignistyp

cs3Label

Threat Type

 

cs4

Real-time

file system protection

Scanner-ID

cs4Label

Scanner ID

 

cs5

virlog.dat

Scan-ID

cs5Label

Scan ID

 

cs6

Failed to remove file

Fehlermeldung, wenn die Aktion nicht erfolgreich war

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Kurze Beschreibung der Ursache des Ereignisses

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

SHA1-Hash des Datenstroms (Ereignis).

cs8Label

Hash

 

act

Cleaned by deleting file

Der Endpoint hat eine Maßnahme ergriffen

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Objekt URI

fileType

File

Objekttyp im Zusammenhang mit dem Ereignis

cn1

1

Ereignis wurde verarbeitet (1) oder nicht verarbeitet (0)

cn1Label

Handled

 

cn2

0

Neustart erforderlich (1) oder nicht erforderlich (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

sprod

C:\\7-Zip\\7z.exe

Der Name des Prozesses für die Ereignisquelle

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Uhrzeit und Datum der ersten Ermittlung des Ereignisses auf dem Computer. Das Format ist %b %d %Y %H:%M:%S

arrow_down_business Beispiel für das -CEF-Log für Bedrohungs-Ereignis:

Firewall-Ereignisse

Erweiterungsname

Beispiel

Beschreibung

msg

TCP Port Scanning attack

Ereignisname

src

127.0.0.1

IPv4-Adresse der Ereignisquelle

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6-Adresse der Ereignisquelle

c6a2Label

Source IPv6 Address

 

spt

36324

Port der Ereignisquelle

dst

127.0.0.2

IPv4-Adresse des Ereignisziels

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

IPv6-Adresse des Ereignisziels

c6a3Label

Destination IPv6 Address

 

dpt

24

Port für Ereignisziel

proto

http

Protokoll

act

Blocked

Ausgeführte Aktion

cn1

1

Ereignis wurde verarbeitet (1) oder nicht verarbeitet (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

deviceProcessName

someApp.exe

Name des Prozesses, der mit dem Ereignis verknüpft ist

deviceDirection

1

Die Verbindung war ein- (0) oder ausgehend (1)

cnt

3

Die Anzahl der vom Endpoint generierten gleichen Nachrichten zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT und dem ESET Management Agent

cs1

 

Regel-ID

cs1Label

Rule ID

 

cs2

custom_rule_12

Regelname

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Bedrohungsname

cs3Label

Threat Name

 

arrow_down_business Beispiel für das CEF-Log für Firewall-Ereignis:

HIPS ereignisse

Erweiterungsname

Beispiel

Beschreibung

cs1

Suspicious attempt to launch an application

Regel-ID

cs1Label

Rule ID

 

cs2

custom_rule_12

Regelname

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Anwendungsname

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Vorgang

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Ziel

cs5Label

Target

 

act

Blocked

Ausgeführte Aktion

cs2

custom_rule_12

Regelname

cn1

1

Ereignis wurde verarbeitet (1) oder nicht verarbeitet (0)

cn1Label

Handled

 

cnt

3

Die Anzahl der vom Endpoint generierten gleichen Nachrichten zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT und dem ESET Management Agenten

arrow_down_business Beispiel für das CEF-Log für HIPS-Ereignis:

Überwachungs-Ereignisse

Erweiterungsname

Beispiel

Beschreibung

act

Login attempt

Ausgeführte Aktion

suser

Administrator

Beteiligter Sicherheitsbenutzer

duser

Administrator

Zielbenutzer (z. B. für Anmeldeversuche)

msg

Authenticating native user 'Administrator'

Ausführliche Beschreibung der Aktion

cs1

Native user

Audit-Log-Domäne

cs1Label

Audit Domain

 

cs2

Success

Aktionsergebnis

cs2Label

Result

 

arrow_down_business Beispiel für das CEF-Log für Ereignisse:

ESET Inspect ereignisse

Erweiterungsname

Beispiel

Beschreibung

deviceProcessName

c:\\imagepath_bin.exe

Name des Prozesses, der den Alarm ausgelöst hat

suser

HP\\home

Prozesseigentümer

cs2

custom_rule_12

Name der Regel, die den Alarm ausgelöst hat

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

SHA1-Hash für Alarm

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Link zum Alarm in der ESET Inspect-Web-Konsole

cs4Label

EI Console Link

 

cs5

126

ID-Komponente des Alarmlinks ($1 in ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Computer-Schweregradsbewertung

cn1Label

ComputerSeverityScore

 

cn2

60

Regel-Schweregradsbewertung

cn2Label

SeverityScore

 

cnt

3

Anzahl der Warnungen vom gleichen Typ seit dem letzten Alarm

arrow_down_business Beispiel für das ESET Inspect-CEF-Log für Ereignisse:

Ereignisse mit blockierten Dateien

Erweiterungsname

Beispiel

Beschreibung

act

Execution blocked

Ausgeführte Aktion

cn1

1

Ereignis wurde verarbeitet (1) oder nicht verarbeitet (0)

cn1Label

Handled

 

suser

HP\\home

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

deviceProcessName

C:\\Windows\\explorer.exe

Name des Prozesses, der mit dem Ereignis verknüpft ist

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

SHA1-Hash der blockierten Datei

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Objekt URI

msg

ESET Inspect

Beschreibung der blockierten Datei

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Uhrzeit und Datum der ersten Ermittlung des Ereignisses auf dem Computer. Das Format ist %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Ursache

cs2Label

Cause

 

arrow_down_business Beispiel für das CEF-Log für blockierte Dateien:

Ereignisse mit gefilterten Websites

Erweiterungsname

Beispiel

Beschreibung

msg

An attempt to connect to URL

Ereignistyp

act

Blocked

Ausgeführte Aktion

cn1

1

Ereignis wurde verarbeitet (1) oder nicht verarbeitet (0)

cn1Label

Handled

 

suser

Peter

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

deviceProcessName

Firefox

Name des Prozesses, der mit dem Ereignis verknüpft ist

cs1

Blocked by PUA blacklist

Regel-ID

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL der blockierten Anfrage

dst

172.17.9.224

IPv4-Adresse des Ereignisziels

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

IPv6-Adresse des Ereignisziels

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

Scanner-ID

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

SHA1-Hash des gefilterten Objekts

cs3Label

Hash

 

arrow_down_business Beispiel für das CEF-Log für gefilterte Website: