Événements exportés au format CEF
Pour filtrer les logs d'évènement envoyés à Syslog, créez une notification de catégorie de journaux avec un filtre défini.
CEF est un format de journal texte développé par ArcSight™. Le format CEF comprend un en-tête CEF et une extension CEF. L'extension contient une liste de paires clé-valeur.
En-tête CEF
En-tête |
Exemple |
Description |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
version ESET PROTECT |
Device Event Class ID (Signature ID): |
109 |
Identifiant unique de la catégorie d’événements de l’appareil : •Événement de menace 100–199 •Événement de pare-feu 200–299 •300–399 HIPS événement •400–499 événement d'audit •500–599 ESET Inspect événement •Événement de fichiers bloqués 600–699 •Événement de sites web filtrés 700–799 |
Event Name |
Detected port scanning attack |
Brève description de ce qui s'est produit dans l'événement |
Severity |
5 |
Gravité 0–10 |
Extensions CEF courantes pour toutes les catégories
Nom de l’extension |
Exemple |
Description |
---|---|---|
cat |
ESET Threat Event |
Catégorie d’événements : •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
Adresse IPv4 de l'ordinateur générant l'événement. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Adresse IPv6 de l'ordinateur générant l'événement. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Nom d’hôte de l’ordinateur avec l’événement |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
UUID de l'ordinateur générant l'événement. |
flexString1 |
Lost & Found |
Nom du groupe de l'ordinateur qui génère l'événement |
flexString1Label |
Device Group Name |
|
rt |
Jun 04 2017 14:10:0 |
Heure UTC d'occurrence de l'événement. Le format est %b %d %Y %H:%M:%S |
Extensions CEF par catégorie d’événement
Événements de menace
Nom de l’extension |
Exemple |
Description |
---|---|---|
cs1 |
W97M/Kojer.A |
Nom de la menace détectée |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Version du moteur de détection |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Type de détection |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
ID d'analyseur |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
ID d'analyse |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Message d’erreur si « l’action » n’a pas réussi |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Brève description de la cause de l'événement |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
Hachage SHA1 du flux de données (détection). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
Action prise par l'endpoint |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Objet URI |
fileType |
File |
Type d’objet lié à l’événement |
cn1 |
1 |
La détection a été gérée (1) ou n’a pas été gérée (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Un redémarrage est nécessaire (1) ou n’est pas nécessaire (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Nom du compte utilisateur associé à l'événement |
sprod |
C:\\7-Zip\\7z.exe |
Nom du processus source de l’événement |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine. Le format est %b %d %Y %H:%M:%S |
Exemple de journal CEF des événements de menace :
Événements de pare-feu
Nom de l’extension |
Exemple |
Description |
---|---|---|
msg |
TCP Port Scanning attack |
Nom de l'événement |
src |
127.0.0.1 |
Adresse IPv4 source de l’événement |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Adresse IPv6 source de l’événement |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Port de la source de l'événement |
dst |
127.0.0.2 |
Adresse IPv4 de destination de l’événement |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Adresse IPv6 de destination de l’événement |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Port de destination de l’événement |
proto |
http |
Protocole |
act |
Blocked |
Action entreprise |
cn1 |
1 |
La détection a été gérée (1) ou n’a pas été gérée (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Nom du compte utilisateur associé à l'événement |
deviceProcessName |
someApp.exe |
Nom du processus associé à l'événement |
deviceDirection |
1 |
La connexion était entrante (0) ou sortante (1) |
cnt |
3 |
Nombre de messages identiques générés par l'endpoint entre deux réplications consécutives entre ESET PROTECT et ESET Management Agent |
cs1 |
|
ID de règle |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nom de la règle |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Nom de la menace |
cs3Label |
Threat Name |
|
Exemple du journal CEF des événements de pare-feu :
HIPS événements
Nom de l’extension |
Exemple |
Description |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
ID de règle |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nom de la règle |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Nom de l'application |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Opération |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Cible |
cs5Label |
Target |
|
act |
Blocked |
Action entreprise |
cs2 |
custom_rule_12 |
Nom de la règle |
cn1 |
1 |
La détection a été gérée (1) ou n’a pas été gérée (0) |
cn1Label |
Handled |
|
cnt |
3 |
Nombre de messages identiques générés par l'endpoint entre deux réplications consécutives entre ESET PROTECT et ESET Management Agent |
Exemple de journal CEF des événements HIPS :
Événements d'audit
Nom de l’extension |
Exemple |
Description |
---|---|---|
act |
Login attempt |
Action exécutée |
suser |
Administrator |
Utilisateur de sécurité impliqué |
duser |
Administrator |
Utilisateur de sécurité ciblé (pour les tentatives de connexion, par exemple) |
msg |
Authenticating native user 'Administrator' |
Description détaillée de l'action |
cs1 |
Native user |
Domaine du journal d'audit |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Résultat de l’action |
cs2Label |
Result |
|
Exemple de journal CEF des événements d’audit :
ESET Inspect événements
Nom de l’extension |
Exemple |
Description |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Nom du processus entraînant cette alarme |
suser |
HP\\home |
Propriétaire du processus |
cs2 |
custom_rule_12 |
Nom de la règle déclenchant cette alarme |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hachage SHA1 de l’alarme |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Lien vers l’alarme dans la console web ESET Inspect |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Sous-partie de l'ID du lien de l'alarme ($1 dans ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Score de gravité de l’ordinateur |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Score de gravité de la règle |
cn2Label |
SeverityScore |
|
cnt |
3 |
Nombre d’alertes du même type générées depuis la dernière alarme |
Exemple de journal CEF des événements ESET Inspect :
Événements de fichiers bloqués
Nom de l’extension |
Exemple |
Description |
---|---|---|
act |
Execution blocked |
Action entreprise |
cn1 |
1 |
La détection a été gérée (1) ou n’a pas été gérée (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Nom du compte utilisateur associé à l'événement |
deviceProcessName |
C:\\Windows\\explorer.exe |
Nom du processus associé à l'événement |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hachage du fichier bloqué SHA1 |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Objet URI |
msg |
ESET Inspect |
Description du fichier bloqué |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine. Le format est %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Cause |
cs2Label |
Cause |
|
Exemple de journal CEF des événements de fichiers bloqués :
Événements de site web filtré
Nom de l’extension |
Exemple |
Description |
---|---|---|
msg |
An attempt to connect to URL |
Type d'événement |
act |
Blocked |
Action entreprise |
cn1 |
1 |
La détection a été gérée (1) ou n’a pas été gérée (0) |
cn1Label |
Handled |
|
suser |
Peter |
Nom du compte utilisateur associé à l'événement |
deviceProcessName |
Firefox |
Nom du processus associé à l'événement |
cs1 |
Blocked by PUA blacklist |
ID de règle |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL de la demande bloquée |
dst |
172.17.9.224 |
Adresse IPv4 de destination de l’événement |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Adresse IPv6 de destination de l’événement |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
ID d'analyseur |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Hachage de l'objet filtré SHA1 |
cs3Label |
Hash |
|