Εξαγωγή συμβάντων σε μορφή CEF
Για να φιλτράρετε τα αρχεία καταγραφής συμβάντων που αποστέλλονται στο Syslog, δημιουργήστε μια ειδοποίηση κατηγορίας καταγραφής με ένα καθορισμένο φίλτρο.
Το CEF είναι μια μορφή αρχείου καταγραφής που βασίζεται σε κείμενο και αναπτύχθηκε από το ArcSight™. Η μορφή CEF περιλαμβάνει μια κεφαλίδα CEF και μια επέκταση CEF. Η επέκταση περιέχει μια λίστα ζευγών κλειδιού-τιμής.
Κεφαλίδα CEF
Κεφαλίδα |
Παράδειγμα |
Περιγραφή |
|---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
έκδοση ESET PROTECT |
Device Event Class ID (Signature ID): |
109 |
Μοναδικό αναγνωριστικό κατηγορίας συμβάντων συσκευής: •Συμβάν απειλής 100-199 •Συμβάν τείχους προστασίας 200-299 •300–399 HIPS ςυμβάν •400–499 Έλεγχος συμβάντος •500–599 ESET Inspect ςυμβάν •Συμβάν αποκλεισμένων αρχείων 600-699 •Συμβάν φιλτραρισμένων ιστότοπων 700-799 |
Event Name |
Detected port scanning attack |
Σύντομη περιγραφή του συμβάντος |
Severity |
5 |
Κρισιμότητα 0–10 |
Επεκτάσεις CEF που είναι κοινές για όλες τις κατηγορίες
Όνομα επέκτασης |
Παράδειγμα |
Περιγραφή |
|---|---|---|
cat |
ESET Threat Event |
Κατηγορία συμβάντων: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
Η διεύθυνση IPv4 του υπολογιστή στον οποίο δημιουργείται το συμβάν. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Η διεύθυνση IPv6 του υπολογιστή στον οποίο δημιουργείται το συμβάν. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Όνομα κεντρικού υπολογιστή με το συμβάν |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
το αναγνωριστικό UUID του υπολογιστή στον οποίο δημιουργείται το συμβάν. |
flexString1 |
Lost & Found |
Το όνομα ομάδας του υπολογιστή στον οποίο δημιουργήθηκε το συμβάν |
flexString1Label |
Device Group Name |
|
rt |
Jun 04 2017 14:10:0 |
Η ώρα UTC που παρουσιάστηκε το συμβάν. Η μορφή είναι %b %d %Y %H:%M:%S |
Επεκτάσεις CEF ανά κατηγορία συμβάντος
Συμβάντα απειλής
Όνομα επέκτασης |
Παράδειγμα |
Περιγραφή |
|---|---|---|
cs1 |
W97M/Kojer.A |
Όνομα απειλής που εντοπίστηκε |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Έκδοση μηχανισμού ανίχνευσης |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Τύπος ανίχνευσης |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
Αναγνωριστικό συσκευής σάρωσης |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
Αναγνωριστικό σάρωσης |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Μήνυμα σφάλματος εάν η «ενέργεια» δεν ήταν επιτυχής |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Σύντομη περιγραφή της αιτίας του συμβάντος |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
Κατακερματισμός SHA1 της ροής δεδομένων (της ανίχνευσης). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
Ενέργεια που εκτελέστηκε από το τερματικό |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Αντικείμενο URI |
fileType |
File |
Τύπος αντικειμένου που σχετίζεται με το συμβάν |
cn1 |
1 |
Η ανίχνευση αντιμετωπίστηκε (1) ή δεν αντιμετωπίστηκε (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Η επανεκκίνηση απαιτείται (1) ή δεν απαιτείται (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν |
sprod |
C:\\7-Zip\\7z.exe |
Το όνομα της διεργασίας προέλευσης συμβάντων |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Η ώρα και η ημερομηνία κατά την οποία εντοπίστηκε η ανίχνευση για πρώτη φορά στον υπολογιστή. Η μορφή είναι %b %d %Y %H:%M:%S |
Παράδειγμα αρχείου καταγραφής CEF συμβάντος απειλής:
Συμβάντα τείχους προστασίας
Όνομα επέκτασης |
Παράδειγμα |
Περιγραφή |
|---|---|---|
msg |
TCP Port Scanning attack |
Το όνομα του συμβάντος |
src |
127.0.0.1 |
Διεύθυνση IPv4 προέλευσης συμβάντος |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Διεύθυνση IPv6 προέλευσης συμβάντος |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Η θύρα της προέλευσης του συμβάντος |
dst |
127.0.0.2 |
Διεύθυνση IPv4 προορισμού συμβάντος |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Διεύθυνση IPv6 προορισμού συμβάντος |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Θύρα προορισμού συμβάντος |
proto |
http |
Πρωτόκολλο |
act |
Blocked |
Η ενέργεια πραγματοποιήθηκε |
cn1 |
1 |
Η ανίχνευση αντιμετωπίστηκε (1) ή δεν αντιμετωπίστηκε (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν |
deviceProcessName |
someApp.exe |
Το όνομα της διεργασίας που σχετίζεται με το συμβάν |
deviceDirection |
1 |
Η σύνδεση ήταν εισερχόμενη (0) ή εξερχόμενη (1) |
cnt |
3 |
Ο αριθμός των ίδιων μηνυμάτων που δημιουργούνται από το τερματικό μεταξύ δύο διαδοχικών αναπαραγωγών μεταξύ του ESET PROTECT και του φορέα ESET Management |
cs1 |
|
Αναγνωριστικό κανόνα |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Όνομα κανόνα |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Όνομα απειλής |
cs3Label |
Threat Name |
|
Παράδειγμα αρχείου καταγραφής CEF συμβάντος Τείχους προστασίας:
HIPS συμβάντα
Όνομα επέκτασης |
Παράδειγμα |
Περιγραφή |
|---|---|---|
cs1 |
Suspicious attempt to launch an application |
Αναγνωριστικό κανόνα |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Όνομα κανόνα |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Όνομα εφαρμογής |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Λειτουργία |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Προορισμός |
cs5Label |
Target |
|
act |
Blocked |
Η ενέργεια πραγματοποιήθηκε |
cs2 |
custom_rule_12 |
Όνομα κανόνα |
cn1 |
1 |
Η ανίχνευση αντιμετωπίστηκε (1) ή δεν αντιμετωπίστηκε (0) |
cn1Label |
Handled |
|
cnt |
3 |
Ο αριθμός των ίδιων μηνυμάτων που δημιουργούνται από το τερματικό μεταξύ δύο διαδοχικών αναπαραγωγών μεταξύ του ESET PROTECT και του φορέα ESET Management |
Παράδειγμα αρχείου καταγραφής CEF συμβάντος HIPS:
Έλεγχος συμβάντα
Όνομα επέκτασης |
Παράδειγμα |
Περιγραφή |
|---|---|---|
act |
Login attempt |
Ενέργεια που πραγματοποιείται |
suser |
Administrator |
Εμπλεκόμενος χρήστης ασφάλειας |
duser |
Administrator |
Στοχευμένος χρήστης ασφάλειας (π.χ., για προσπάθειες σύνδεσης) |
msg |
Authenticating native user 'Administrator' |
Μια λεπτομερής περιγραφή της ενέργειας |
cs1 |
Native user |
Τομέας αρχείου καταγραφής ελέγχου |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Αποτέλεσμα ενέργειας |
cs2Label |
Result |
|
Παράδειγμα αρχείου καταγραφής CEF συμβάντος ελέγχου:
ESET Inspect συμβάντα
Όνομα επέκτασης |
Παράδειγμα |
Περιγραφή |
|---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Όνομα της διεργασίας που προκαλεί αυτόν το συναγερμό |
suser |
HP\\home |
Κάτοχος διεργασίας |
cs2 |
custom_rule_12 |
Όνομα του κανόνα που ενεργοποιεί αυτόν το συναγερμό |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Κατακερματισμός συναγερμού SHA1 |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Σύνδεσμος με τον συναγερμό στην Κονσόλα διαδικτύου ESET Inspect |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Υποτμήμα ταυτότητας της σύνδεσης συναγερμού ($1 στο ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Βαθμολογία κρισιμότητας υπολογιστή |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Βαθμολογία κρισιμότητας κανόνα |
cn2Label |
SeverityScore |
|
cnt |
3 |
Ο αριθμός συναγερμών του ίδιου τύπου που δημιουργήθηκαν μετά τον τελευταίο συναγερμό |
Παράδειγμα αρχείου καταγραφής CEF συμβάντος ESET Inspect:
Συμβάντα αποκλεισμένων αρχείων
Όνομα επέκτασης |
Παράδειγμα |
Περιγραφή |
|---|---|---|
act |
Execution blocked |
Η ενέργεια πραγματοποιήθηκε |
cn1 |
1 |
Η ανίχνευση αντιμετωπίστηκε (1) ή δεν αντιμετωπίστηκε (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν |
deviceProcessName |
C:\\Windows\\explorer.exe |
Το όνομα της διεργασίας που σχετίζεται με το συμβάν |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Κατακερματισμός SHA1 του αποκλεισμένου αρχείου |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Αντικείμενο URI |
msg |
ESET Inspect |
Περιγραφή αποκλεισμένου αρχείου |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Η ώρα και η ημερομηνία κατά την οποία εντοπίστηκε η ανίχνευση για πρώτη φορά στον υπολογιστή. Η μορφή είναι %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Αιτία |
cs2Label |
Cause |
|
Παράδειγμα αρχείου καταγραφής CEF συμβάντος αποκλεισμένων αρχείων:
Συμβάντα φιλτραρισμένων ιστότοπων
Όνομα επέκτασης |
Παράδειγμα |
Περιγραφή |
|---|---|---|
msg |
An attempt to connect to URL |
Τύπος συμβάντος |
act |
Blocked |
Η ενέργεια πραγματοποιήθηκε |
cn1 |
1 |
Η ανίχνευση αντιμετωπίστηκε (1) ή δεν αντιμετωπίστηκε (0) |
cn1Label |
Handled |
|
suser |
Peter |
Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν |
deviceProcessName |
Firefox |
Το όνομα της διεργασίας που σχετίζεται με το συμβάν |
cs1 |
Blocked by PUA blacklist |
Αναγνωριστικό κανόνα |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL του αποκλεισμένου αιτήματος |
dst |
172.17.9.224 |
Διεύθυνση IPv4 προορισμού συμβάντος |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Διεύθυνση IPv6 προορισμού συμβάντος |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
Αναγνωριστικό συσκευής σάρωσης |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Κατακερματισμός SHA1 του φιλτραρισμένου αντικειμένου |
cs3Label |
Hash |
|
Παράδειγμα αρχείου καταγραφής CEF συμβάντος φιλτραρισμένου ιστότοπου: