Eventi esportati in formato CEF

Per filtrare i rapporti degli eventi inviati a Syslog, creare una notifica della categoria di rapporti con un filtro definito.

CEF è un formato di rapporto testuale sviluppato da ArcSight™. Il formato CEF include un’intestazione CEF e un’estensione CEF. L’estensione contiene un elenco di coppie chiave-valore.

Intestazione CEF

Intestazioni	Esempio	Descrizione
Device Vendor	ESET
Device Product	Protect
Device Version	10.0.5.1	ESET PROTECT più recente
Device Event Class ID (Signature ID):	109	Identificatore univoco della categoria dell’evento del dispositivo: •100: evento minaccia199 •200: evento firewall299 •300–399 HIPS evento •400–499 evento di controllo •500–599 ESET Inspect evento •600: Evento file bloccati 699 •700: evento siti web filtrati 799
Event Name	Detected port scanning attack	Breve descrizione di ciò che è successo nell’evento
Severity	5	Gravità 0–10

Estensioni CEF comuni a tutte le categorie

Nome dell’estensione	Esempio	Descrizione
cat	ESET Threat Event	Categorie evento: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	Indirizzo IPv4 del computer che genera l'evento.
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Indirizzo IPv6 del computer che genera l'evento.
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	Nome host del computer con l'evento
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	UUID del computer che genera l'evento.
flexString1	Lost & Found	Nome del gruppo del computer che genera l’evento
flexString1Label	Device Group Name
rt	Jun 04 2017 14:10:0	Ora UTC di occorrenza dell'evento. Il formato è %b %d %Y %H:%M:%S

Estensioni CEF in base alla categoria dell’evento

Eventi minacce

Nome dell’estensione	Esempio	Descrizione
cs1	W97M/Kojer.A	Nome della minaccia trovata
cs1Label	Threat Name
cs2	25898 (20220909)	Versione motore di rilevamento
cs2Label	Engine Version
cs3	Virus	Tipo di rilevamento
cs3Label	Threat Type
cs4	Real-time file system protection	ID scanner
cs4Label	Scanner ID
cs5	virlog.dat	ID controllo
cs5Label	Scan ID
cs6	Failed to remove file	Messaggio di errore se l’“azione” non è stata eseguita correttamente
cs6Label	Action Error
cs7	Event occurred on a newly created file	Breve descrizione della causa dell'evento
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	Hash SHA1 del flusso di dati (rilevamento).
cs8Label	Hash
act	Cleaned by deleting file	L’azione è stata eseguita dall’endpoint
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	Oggetto URI
fileType	File	Tipo di oggetto correlato all’evento
cn1	1	Il rilevamento è stato gestito (1) o non è stato gestito (0)
cn1Label	Handled
cn2	0	Il riavvio è necessario (1) o non è necessario (0)
cn2Label	Restart Needed
suser	172-MG\\Administrator	Nome dell'account utente associato all'evento
sprod	C:\\7-Zip\\7z.exe	Nome del processo di origine dell’evento
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Ora e data in cui il rilevamento è stato trovato per la prima volta sulla macchina. Il formato è %b %d %Y %H:%M:%S

Esempio di rapporto CEF degli eventi “minaccia”:

Eventi firewall

Nome dell’estensione	Esempio	Descrizione
msg	TCP Port Scanning attack	Nome evento
src	127.0.0.1	Indirizzo IPv4 di origine dell’evento
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Indirizzo IPv6 di origine dell’evento
c6a2Label	Source IPv6 Address
spt	36324	Porta dell'origine dell'evento
dst	127.0.0.2	Indirizzo IPv4 di destinazione dell’evento
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Indirizzo IPv6 di destinazione dell’evento
c6a3Label	Destination IPv6 Address
dpt	24	Porta di destinazione dell’evento
proto	http	Protocollo
act	Blocked	Azione intrapresa
cn1	1	Il rilevamento è stato gestito (1) o non è stato gestito (0)
cn1Label	Handled
suser	172-MG\\Administrator	Nome dell'account utente associato all'evento
deviceProcessName	someApp.exe	Nome del processo associato all'evento
deviceDirection	1	La connessione era in entrata (0) o in uscita (1)
cnt	3	Numero degli stessi messaggi generati dall’endpoint tra due repliche consecutive tra ESET PROTECT e ESET Management Agent
cs1		ID regola
cs1Label	Rule ID
cs2	custom_rule_12	Nome regola
cs2Label	Rule Name
cs3	Win32/Botnet.generic	Nome minaccia
cs3Label	Threat Name

Esempio di rapporto CEF degli eventi “firewall”:

HIPS eventi

Nome dell’estensione	Esempio	Descrizione
cs1	Suspicious attempt to launch an application	ID regola
cs1Label	Rule ID
cs2	custom_rule_12	Nome regola
cs2Label	Rule Name
cs3	C:\\someapp.exe	Nome applicazione
cs3Label	Application
cs4	Attempt to run a suspicious object	Operazione
cs4Label	Operation
cs5	C:\\somevirus.exe	Destinazione
cs5Label	Target
act	Blocked	Azione intrapresa
cs2	custom_rule_12	Nome regola
cn1	1	Il rilevamento è stato gestito (1) o non è stato gestito (0)
cn1Label	Handled
cnt	3	Numero degli stessi messaggi generati dall’endpoint tra due repliche consecutive tra ESET PROTECT e ESET Management Agent

Esempio di rapporto CEF degli eventi “HIPS”:

Eventi di controllo

Nome dell’estensione	Esempio	Descrizione
act	Login attempt	Azione che viene eseguita
suser	Administrator	Utente coinvolto
duser	Administrator	Utente di protezione mirato (ad esempio, per tentativi di autenticazione)
msg	Authenticating native user 'Administrator'	Descrizione dettagliata dell'azione
cs1	Native user	Dominio del rapporto di audit
cs1Label	Audit Domain
cs2	Success	Risultato azione
cs2Label	Result

Esempio di rapporto CEF degli eventi “controllo”:

ESET Inspect eventi

Nome dell’estensione	Esempio	Descrizione
deviceProcessName	c:\\imagepath_bin.exe	Nome del processo che causa questo allarme
suser	HP\\home	Proprietario del processo
cs2	custom_rule_12	Nome della regola che attiva questo allarme
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Hash SHA1 allarme
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	Collegamento all’allarme in ESET Inspect Web Console
cs4Label	EI Console Link
cs5	126	Sottoparte ID del collegamento allarme ($1 in ^http.*/alarm/([0-9]+)$)
cs5Label	EI Alarm ID
cn1	275	Punteggio gravità computer
cn1Label	ComputerSeverityScore
cn2	60	Punteggio gravità regola
cn2Label	SeverityScore
cnt	3	Numero di avvisi dello stesso tipo generati dall’ultimo allarme

Esempio di rapporto CEF degli eventi “ESET Inspect”:

Eventi file bloccati

Nome dell’estensione	Esempio	Descrizione
act	Execution blocked	Azione intrapresa
cn1	1	Il rilevamento è stato gestito (1) o non è stato gestito (0)
cn1Label	Handled
suser	HP\\home	Nome dell'account utente associato all'evento
deviceProcessName	C:\\Windows\\explorer.exe	Nome del processo associato all'evento
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Hash SHA1 del file bloccato
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	Oggetto URI
msg	ESET Inspect	Descrizione del file bloccato
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Ora e data in cui il rilevamento è stato trovato per la prima volta sulla macchina. Il formato è %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	Causa
cs2Label	Cause

Esempio di rapporto CEF degli eventi “file bloccati”:

Eventi siti web filtrati

Nome dell’estensione	Esempio	Descrizione
msg	An attempt to connect to URL	Tipo di evento
act	Blocked	Azione intrapresa
cn1	1	Il rilevamento è stato gestito (1) o non è stato gestito (0)
cn1Label	Handled
suser	Peter	Nome dell'account utente associato all'evento
deviceProcessName	Firefox	Nome del processo associato all'evento
cs1	Blocked by PUA blacklist	ID regola
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	URL della richiesta bloccata
dst	172.17.9.224	Indirizzo IPv4 di destinazione dell’evento
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Indirizzo IPv6 di destinazione dell’evento
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	ID scanner
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	Hash SHA1 dell'oggetto filtrato
cs3Label	Hash

Esempio di rapporto CEF degli eventi “sito web filtrato”:

˄˅