Aide en ligne ESET

Rechercher Français
Sélectionner la catégorie
Sélectionner la rubrique

Événements exportés au format CEF

Pour filtrer les logs d'évènement envoyés à Syslog, créez une notification de catégorie de journaux avec un filtre défini.

CEF est un format de journal texte développé par ArcSight™. Le format CEF comprend un en-tête CEF et une extension CEF. L'extension contient une liste de paires clé-valeur.

En-tête CEF

En-tête

Exemple

Description

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

version ESET PROTECT

Device Event Class ID (Signature ID):

109

Identifiant unique de la catégorie d’événements de l’appareil :

Événement de menace 100–199

Événement de pare-feu 200–299

300–399 HIPS événement

400–499 événement d'audit

500–599 ESET Inspect événement

Événement de fichiers bloqués 600–699

Événement de sites web filtrés 700–799

Event Name

Detected port scanning attack

Brève description de ce qui s'est produit dans l'événement

Severity

5

Gravité 0–10

Extensions CEF courantes pour toutes les catégories

Nom de l’extension

Exemple

Description

cat

ESET Threat Event

Catégorie d’événements :

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

Adresse IPv4 de l'ordinateur générant l'événement.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Adresse IPv6 de l'ordinateur générant l'événement.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Nom d’hôte de l’ordinateur avec l’événement

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID de l'ordinateur générant l'événement.

flexString1

Lost & Found

Nom du groupe de l'ordinateur qui génère l'événement

flexString1Label

Device Group Name

 

rt

Jun 04 2017 14:10:0

Heure UTC d'occurrence de l'événement. Le format est %b %d %Y %H:%M:%S

Extensions CEF par catégorie d’événement

Événements de menace

Nom de l’extension

Exemple

Description

cs1

W97M/Kojer.A

Nom de la menace détectée

cs1Label

Threat Name

 

cs2

25898 (20220909)

Version du moteur de détection

cs2Label

Engine Version

 

cs3

Virus

Type de détection

cs3Label

Threat Type

 

cs4

Real-time

file system protection

ID d'analyseur

cs4Label

Scanner ID

 

cs5

virlog.dat

ID d'analyse

cs5Label

Scan ID

 

cs6

Failed to remove file

Message d’erreur si « l’action » n’a pas réussi

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Brève description de la cause de l'événement

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

Hachage SHA1 du flux de données (détection).

cs8Label

Hash

 

act

Cleaned by deleting file

Action prise par l'endpoint

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Objet URI

fileType

File

Type d’objet lié à l’événement

cn1

1

La détection a été gérée (1) ou n’a pas été gérée (0)

cn1Label

Handled

 

cn2

0

Un redémarrage est nécessaire (1) ou n’est pas nécessaire (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Nom du compte utilisateur associé à l'événement

sprod

C:\\7-Zip\\7z.exe

Nom du processus source de l’événement

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine. Le format est %b %d %Y %H:%M:%S

arrow_down_business Exemple de journal CEF des événements de menace :

Événements de pare-feu

Nom de l’extension

Exemple

Description

msg

TCP Port Scanning attack

Nom de l'événement

src

127.0.0.1

Adresse IPv4 source de l’événement

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Adresse IPv6 source de l’événement

c6a2Label

Source IPv6 Address

 

spt

36324

Port de la source de l'événement

dst

127.0.0.2

Adresse IPv4 de destination de l’événement

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Adresse IPv6 de destination de l’événement

c6a3Label

Destination IPv6 Address

 

dpt

24

Port de destination de l’événement

proto

http

Protocole

act

Blocked

Action entreprise

cn1

1

La détection a été gérée (1) ou n’a pas été gérée (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Nom du compte utilisateur associé à l'événement

deviceProcessName

someApp.exe

Nom du processus associé à l'événement

deviceDirection

1

La connexion était entrante (0) ou sortante (1)

cnt

3

Nombre de messages identiques générés par l'endpoint entre deux réplications consécutives entre ESET PROTECT et ESET Management Agent

cs1

 

ID de règle

cs1Label

Rule ID

 

cs2

custom_rule_12

Nom de la règle

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Nom de la menace

cs3Label

Threat Name

 

arrow_down_business Exemple du journal CEF des événements de pare-feu :

HIPS événements

Nom de l’extension

Exemple

Description

cs1

Suspicious attempt to launch an application

ID de règle

cs1Label

Rule ID

 

cs2

custom_rule_12

Nom de la règle

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Nom de l'application

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Opération

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Cible

cs5Label

Target

 

act

Blocked

Action entreprise

cs2

custom_rule_12

Nom de la règle

cn1

1

La détection a été gérée (1) ou n’a pas été gérée (0)

cn1Label

Handled

 

cnt

3

Nombre de messages identiques générés par l'endpoint entre deux réplications consécutives entre ESET PROTECT et ESET Management Agent

arrow_down_business Exemple de journal CEF des événements HIPS :

Événements d'audit

Nom de l’extension

Exemple

Description

act

Login attempt

Action exécutée

suser

Administrator

Utilisateur de sécurité impliqué

duser

Administrator

Utilisateur de sécurité ciblé (pour les tentatives de connexion, par exemple)

msg

Authenticating native user 'Administrator'

Description détaillée de l'action

cs1

Native user

Domaine du journal d'audit

cs1Label

Audit Domain

 

cs2

Success

Résultat de l’action

cs2Label

Result

 

arrow_down_business Exemple de journal CEF des événements d’audit :

ESET Inspect événements

Nom de l’extension

Exemple

Description

deviceProcessName

c:\\imagepath_bin.exe

Nom du processus entraînant cette alarme

suser

HP\\home

Propriétaire du processus

cs2

custom_rule_12

Nom de la règle déclenchant cette alarme

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hachage SHA1 de l’alarme

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Lien vers l’alarme dans la console web ESET Inspect

cs4Label

EI Console Link

 

cs5

126

Sous-partie de l'ID du lien de l'alarme ($1 dans ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Score de gravité de l’ordinateur

cn1Label

ComputerSeverityScore

 

cn2

60

Score de gravité de la règle

cn2Label

SeverityScore

 

cnt

3

Nombre d’alertes du même type générées depuis la dernière alarme

arrow_down_business Exemple de journal CEF des événements ESET Inspect :

Événements de fichiers bloqués

Nom de l’extension

Exemple

Description

act

Execution blocked

Action entreprise

cn1

1

La détection a été gérée (1) ou n’a pas été gérée (0)

cn1Label

Handled

 

suser

HP\\home

Nom du compte utilisateur associé à l'événement

deviceProcessName

C:\\Windows\\explorer.exe

Nom du processus associé à l'événement

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hachage du fichier bloqué SHA1

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Objet URI

msg

ESET Inspect

Description du fichier bloqué

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine. Le format est %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Cause

cs2Label

Cause

 

arrow_down_business Exemple de journal CEF des événements de fichiers bloqués :

Événements de site web filtré

Nom de l’extension

Exemple

Description

msg

An attempt to connect to URL

Type d'événement

act

Blocked

Action entreprise

cn1

1

La détection a été gérée (1) ou n’a pas été gérée (0)

cn1Label

Handled

 

suser

Peter

Nom du compte utilisateur associé à l'événement

deviceProcessName

Firefox

Nom du processus associé à l'événement

cs1

Blocked by PUA blacklist

ID de règle

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL de la demande bloquée

dst

172.17.9.224

Adresse IPv4 de destination de l’événement

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Adresse IPv6 de destination de l’événement

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

ID d'analyseur

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Hachage de l'objet filtré SHA1

cs3Label

Hash

 

arrow_down_business Exemple de journal CEF des événements de site Web filtré :