Eventos exportados a formato CEF
Para filtrar los registros de eventos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido.
CEF es un formato de registro basado en texto desarrollado por ArcSight™. El formato CEF incluye un CEF encabezado y una extensión CEF. La extensión contiene una lista de pares clave-valor.
Encabezado CEF
Encabezado |
Ejemplo |
Descripción |
|---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT versión |
Device Event Class ID (Signature ID): |
109 |
Identificador único de Categoría de evento del dispositivo: •100:199 casos de amenaza •200:299 eventos de firewall •300–399 HIPS evento •400–499 Evento de auditoría •500–599 ESET Inspect evento •600:699 eventos de archivos bloqueados •700:799 eventos de sitios web filtrados |
Event Name |
Detected port scanning attack |
Una breve descripción de lo que ocurrió en el evento |
Severity |
5 |
Gravedad 0–10 |
Extensiones CEF comunes para todas las categorías
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
cat |
ESET Threat Event |
Categoría de evento: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
Dirección IPv4 del equipo que genera el evento. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Dirección IPv6 del equipo que genera el evento. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Nombre de host del equipo con el evento |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
UUID del equipo que genera el evento. |
flexString1 |
Lost & Found |
El nombre de grupo del equipo que genera el evento |
flexString1Label |
Device Group Name |
|
rt |
Jun 04 2017 14:10:0 |
Hora UTC de la ocurrencia del evento. El formato es %b %d %Y %H:%M:%S |
Extensiones CEF por categoría de eventos
Casos de amenaza
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
cs1 |
W97M/Kojer.A |
Nombre de la amenaza encontrada |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Versión del motor de detección |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Tipo de detección |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
ID de exploración |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
ID de exploración |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Mensaje de error si la "acción" no se ha realizado correctamente |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Breve descripción de lo que causó el evento |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
Hash SHA1 del flujo de datos (de la detección). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
El punto de conexión tomó la acción |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Objeto URI |
fileType |
File |
Tipo de objeto relacionado con el evento |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Es necesario reiniciar (1) o no es necesario (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Nombre de la cuenta de usuario asociada con el evento |
sprod |
C:\\7-Zip\\7z.exe |
El nombre del proceso de origen del evento |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
La hora y la fecha en las que se encontró la detección por primera vez en la máquina. El formato es %b %d %Y %H:%M:%S |
Ejemplo de registro de CEF de casos de amenazas:
Eventos de firewall
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
msg |
TCP Port Scanning attack |
Nombre del evento |
src |
127.0.0.1 |
Dirección IPv4 de origen del evento |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Dirección IPv6 de origen del evento |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Puerto de la fuente del evento |
dst |
127.0.0.2 |
Dirección IPv4 de destino del evento |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Dirección IPv6 de destino del evento |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Puerto de destino del evento |
proto |
http |
Protocolo |
act |
Blocked |
Medida tomada |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Nombre de la cuenta de usuario asociada con el evento |
deviceProcessName |
someApp.exe |
Nombre del proceso asociado al evento |
deviceDirection |
1 |
La conexión era entrante (0) o saliente (1) |
cnt |
3 |
El número de los mismos mensajes generados por el punto de conexión entre dos replicaciones consecutivas entre ESET PROTECT y el agente de ESET Management |
cs1 |
|
ID de la regla |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nombre de regla |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Nombre de amenaza |
cs3Label |
Threat Name |
|
Ejemplo de registro CEF de casos de firewall:
HIPS sucesos
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
cs1 |
Suspicious attempt to launch an application |
ID de la regla |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nombre de regla |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Nombre de la aplicación |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Operación |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Destino |
cs5Label |
Target |
|
act |
Blocked |
Medida tomada |
cs2 |
custom_rule_12 |
Nombre de regla |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
cnt |
3 |
El número de los mismos mensajes generados por el punto de conexión entre dos replicaciones consecutivas entre ESET PROTECT y el agente de ESET Management |
Ejemplo de registro CEF de casos HIPS:
Eventos de auditoría
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
act |
Login attempt |
Acción que se lleva a cabo |
suser |
Administrator |
Usuario de seguridad involucrado |
duser |
Administrator |
Usuario de seguridad dirigido (por ejemplo, para intentos de inicio de sesión) |
msg |
Authenticating native user 'Administrator' |
Una descripción detallada de la acción |
cs1 |
Native user |
Dominio de registro de auditoría |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Resultado de la acción |
cs2Label |
Result |
|
Ejemplo de registro CEF de casos de auditoría:
ESET Inspect sucesos
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Nombre del proceso que causa esta alarma |
suser |
HP\\home |
Responsable del proceso |
cs2 |
custom_rule_12 |
Nombre de la regla que desencadena esta alarma |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hash SHA1 de alarma |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Enlace a la alarma en la consola web de ESET Inspect |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Subparte del ID del enlace de la alarma ($1 en ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Nivel de gravedad del equipo |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Nivel de gravedad de la regla |
cn2Label |
SeverityScore |
|
cnt |
3 |
El número de alertas del mismo tipo generadas desde la última alarma |
Ejemplo del registro de CEF de casos ESET Inspect:
Eventos de archivos bloqueados
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
act |
Execution blocked |
Medida tomada |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Nombre de la cuenta de usuario asociada con el evento |
deviceProcessName |
C:\\Windows\\explorer.exe |
Nombre del proceso asociado al evento |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hash SHA1 del archivo bloqueado |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Objeto URI |
msg |
ESET Inspect |
Descripción del archivo bloqueado |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
La hora y la fecha en las que se encontró la detección por primera vez en la máquina. El formato es %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Causa |
cs2Label |
Cause |
|
Ejemplo de registro CEF de casos de archivos bloqueados:
Eventos de sitios web filtrados
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
msg |
An attempt to connect to URL |
Tipo de evento |
act |
Blocked |
Medida tomada |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
suser |
Peter |
Nombre de la cuenta de usuario asociada con el evento |
deviceProcessName |
Firefox |
Nombre del proceso asociado al evento |
cs1 |
Blocked by PUA blacklist |
ID de la regla |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL de solicitud bloqueada |
dst |
172.17.9.224 |
Dirección IPv4 de destino del evento |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Dirección IPv6 de destino del evento |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
ID de exploración |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Hash SHA1 del objeto filtrado |
cs3Label |
Hash |
|