Événements exportés au format CEF

Pour filtrer les logs d'évènement envoyés à Syslog, créez une notification de catégorie de journaux avec un filtre défini.

CEF est un format de journal texte développé par ArcSight™. Le format CEF comprend un en-tête CEF et une extension CEF. L'extension contient une liste de paires clé-valeur.

En-tête CEF

En-tête	Exemple	Description
Device Vendor	ESET
Device Product	Protect
Device Version	10.0.5.1	version ESET PROTECT
Device Event Class ID (Signature ID):	109	Identifiant unique de la catégorie d’événements de l’appareil : •Événement de menace 100–199 •Événement de pare-feu 200–299 •300–399 HIPS événement •400–499 événement d'audit •500–599 ESET Inspect événement •Événement de fichiers bloqués 600–699 •Événement de sites web filtrés 700–799
Event Name	Detected port scanning attack	Brève description de ce qui s'est produit dans l'événement
Severity	5	Gravité 0–10

Extensions CEF courantes pour toutes les catégories

Nom de l’extension	Exemple	Description
cat	ESET Threat Event	Catégorie d’événements : •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	Adresse IPv4 de l'ordinateur générant l'événement.
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Adresse IPv6 de l'ordinateur générant l'événement.
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	Nom d’hôte de l’ordinateur avec l’événement
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	UUID de l'ordinateur générant l'événement.
flexString1	Lost & Found	Nom du groupe de l'ordinateur qui génère l'événement
flexString1Label	Device Group Name
rt	Jun 04 2017 14:10:0	Heure UTC d'occurrence de l'événement. Le format est %b %d %Y %H:%M:%S

Extensions CEF par catégorie d’événement

Événements de menace

Nom de l’extension	Exemple	Description
cs1	W97M/Kojer.A	Nom de la menace détectée
cs1Label	Threat Name
cs2	25898 (20220909)	Version du moteur de détection
cs2Label	Engine Version
cs3	Virus	Type de détection
cs3Label	Threat Type
cs4	Real-time file system protection	ID d'analyseur
cs4Label	Scanner ID
cs5	virlog.dat	ID d'analyse
cs5Label	Scan ID
cs6	Failed to remove file	Message d’erreur si « l’action » n’a pas réussi
cs6Label	Action Error
cs7	Event occurred on a newly created file	Brève description de la cause de l'événement
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	Hachage SHA1 du flux de données (détection).
cs8Label	Hash
act	Cleaned by deleting file	Action prise par l'endpoint
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	Objet URI
fileType	File	Type d’objet lié à l’événement
cn1	1	La détection a été gérée (1) ou n’a pas été gérée (0)
cn1Label	Handled
cn2	0	Un redémarrage est nécessaire (1) ou n’est pas nécessaire (0)
cn2Label	Restart Needed
suser	172-MG\\Administrator	Nom du compte utilisateur associé à l'événement
sprod	C:\\7-Zip\\7z.exe	Nom du processus source de l’événement
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine. Le format est %b %d %Y %H:%M:%S

Exemple de journal CEF des événements de menace :

Événements de pare-feu

Nom de l’extension	Exemple	Description
msg	TCP Port Scanning attack	Nom de l'événement
src	127.0.0.1	Adresse IPv4 source de l’événement
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Adresse IPv6 source de l’événement
c6a2Label	Source IPv6 Address
spt	36324	Port de la source de l'événement
dst	127.0.0.2	Adresse IPv4 de destination de l’événement
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Adresse IPv6 de destination de l’événement
c6a3Label	Destination IPv6 Address
dpt	24	Port de destination de l’événement
proto	http	Protocole
act	Blocked	Action entreprise
cn1	1	La détection a été gérée (1) ou n’a pas été gérée (0)
cn1Label	Handled
suser	172-MG\\Administrator	Nom du compte utilisateur associé à l'événement
deviceProcessName	someApp.exe	Nom du processus associé à l'événement
deviceDirection	1	La connexion était entrante (0) ou sortante (1)
cnt	3	Nombre de messages identiques générés par l'endpoint entre deux réplications consécutives entre ESET PROTECT et ESET Management Agent
cs1		ID de règle
cs1Label	Rule ID
cs2	custom_rule_12	Nom de la règle
cs2Label	Rule Name
cs3	Win32/Botnet.generic	Nom de la menace
cs3Label	Threat Name

Exemple du journal CEF des événements de pare-feu :

HIPS événements

Nom de l’extension	Exemple	Description
cs1	Suspicious attempt to launch an application	ID de règle
cs1Label	Rule ID
cs2	custom_rule_12	Nom de la règle
cs2Label	Rule Name
cs3	C:\\someapp.exe	Nom de l'application
cs3Label	Application
cs4	Attempt to run a suspicious object	Opération
cs4Label	Operation
cs5	C:\\somevirus.exe	Cible
cs5Label	Target
act	Blocked	Action entreprise
cs2	custom_rule_12	Nom de la règle
cn1	1	La détection a été gérée (1) ou n’a pas été gérée (0)
cn1Label	Handled
cnt	3	Nombre de messages identiques générés par l'endpoint entre deux réplications consécutives entre ESET PROTECT et ESET Management Agent

Exemple de journal CEF des événements HIPS :

Événements d'audit

Nom de l’extension	Exemple	Description
act	Login attempt	Action exécutée
suser	Administrator	Utilisateur de sécurité impliqué
duser	Administrator	Utilisateur de sécurité ciblé (pour les tentatives de connexion, par exemple)
msg	Authenticating native user 'Administrator'	Description détaillée de l'action
cs1	Native user	Domaine du journal d'audit
cs1Label	Audit Domain
cs2	Success	Résultat de l’action
cs2Label	Result

Exemple de journal CEF des événements d’audit :

ESET Inspect événements

Nom de l’extension	Exemple	Description
deviceProcessName	c:\\imagepath_bin.exe	Nom du processus entraînant cette alarme
suser	HP\\home	Propriétaire du processus
cs2	custom_rule_12	Nom de la règle déclenchant cette alarme
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Hachage SHA1 de l’alarme
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	Lien vers l’alarme dans la console web ESET Inspect
cs4Label	EI Console Link
cs5	126	Sous-partie de l'ID du lien de l'alarme ($1 dans ^http.*/alarm/([0-9]+)$)
cs5Label	EI Alarm ID
cn1	275	Score de gravité de l’ordinateur
cn1Label	ComputerSeverityScore
cn2	60	Score de gravité de la règle
cn2Label	SeverityScore
cnt	3	Nombre d’alertes du même type générées depuis la dernière alarme

Exemple de journal CEF des événements ESET Inspect :

Événements de fichiers bloqués

Nom de l’extension	Exemple	Description
act	Execution blocked	Action entreprise
cn1	1	La détection a été gérée (1) ou n’a pas été gérée (0)
cn1Label	Handled
suser	HP\\home	Nom du compte utilisateur associé à l'événement
deviceProcessName	C:\\Windows\\explorer.exe	Nom du processus associé à l'événement
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Hachage du fichier bloqué SHA1
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	Objet URI
msg	ESET Inspect	Description du fichier bloqué
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine. Le format est %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	Cause
cs2Label	Cause

Exemple de journal CEF des événements de fichiers bloqués :

Événements de site web filtré

Nom de l’extension	Exemple	Description
msg	An attempt to connect to URL	Type d'événement
act	Blocked	Action entreprise
cn1	1	La détection a été gérée (1) ou n’a pas été gérée (0)
cn1Label	Handled
suser	Peter	Nom du compte utilisateur associé à l'événement
deviceProcessName	Firefox	Nom du processus associé à l'événement
cs1	Blocked by PUA blacklist	ID de règle
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	URL de la demande bloquée
dst	172.17.9.224	Adresse IPv4 de destination de l’événement
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Adresse IPv6 de destination de l’événement
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	ID d'analyseur
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	Hachage de l'objet filtré SHA1
cs3Label	Hash

Exemple de journal CEF des événements de site Web filtré :

˄˅