Guida online ESET

Ricerca Italiano
Seleziona la categoria
Seleziona l'argomento

Eventi esportati in formato CEF

Per filtrare i rapporti degli eventi inviati a Syslog, creare una notifica della categoria di rapporti con un filtro definito.

CEF è un formato di rapporto testuale sviluppato da ArcSight™. Il formato CEF include un’intestazione CEF e un’estensione CEF. L’estensione contiene un elenco di coppie chiave-valore.

Intestazione CEF

Intestazioni

Esempio

Descrizione

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

ESET PROTECT più recente

Device Event Class ID (Signature ID):

109

Identificatore univoco della categoria dell’evento del dispositivo:

100: evento minaccia199

200: evento firewall299

300–399 HIPS evento

400–499 evento di controllo

500–599 ESET Inspect evento

600: Evento file bloccati 699

700: evento siti web filtrati 799

Event Name

Detected port scanning attack

Breve descrizione di ciò che è successo nell’evento

Severity

5

Gravità 0–10

Estensioni CEF comuni a tutte le categorie

Nome dell’estensione

Esempio

Descrizione

cat

ESET Threat Event

Categorie evento:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

Indirizzo IPv4 del computer che genera l'evento.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Indirizzo IPv6 del computer che genera l'evento.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Nome host del computer con l'evento

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID del computer che genera l'evento.

flexString1

Lost & Found

Nome del gruppo del computer che genera l’evento

flexString1Label

Device Group Name

 

rt

Jun 04 2017 14:10:0

Ora UTC di occorrenza dell'evento. Il formato è %b %d %Y %H:%M:%S

Estensioni CEF in base alla categoria dell’evento

Eventi minacce

Nome dell’estensione

Esempio

Descrizione

cs1

W97M/Kojer.A

Nome della minaccia trovata

cs1Label

Threat Name

 

cs2

25898 (20220909)

Versione motore di rilevamento

cs2Label

Engine Version

 

cs3

Virus

Tipo di rilevamento

cs3Label

Threat Type

 

cs4

Real-time

file system protection

ID scanner

cs4Label

Scanner ID

 

cs5

virlog.dat

ID controllo

cs5Label

Scan ID

 

cs6

Failed to remove file

Messaggio di errore se l’“azione” non è stata eseguita correttamente

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Breve descrizione della causa dell'evento

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

Hash SHA1 del flusso di dati (rilevamento).

cs8Label

Hash

 

act

Cleaned by deleting file

L’azione è stata eseguita dall’endpoint

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Oggetto URI

fileType

File

Tipo di oggetto correlato all’evento

cn1

1

Il rilevamento è stato gestito (1) o non è stato gestito (0)

cn1Label

Handled

 

cn2

0

Il riavvio è necessario (1) o non è necessario (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Nome dell'account utente associato all'evento

sprod

C:\\7-Zip\\7z.exe

Nome del processo di origine dell’evento

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Ora e data in cui il rilevamento è stato trovato per la prima volta sulla macchina. Il formato è %b %d %Y %H:%M:%S

arrow_down_business Esempio di rapporto CEF degli eventi “minaccia”:

Eventi firewall

Nome dell’estensione

Esempio

Descrizione

msg

TCP Port Scanning attack

Nome evento

src

127.0.0.1

Indirizzo IPv4 di origine dell’evento

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Indirizzo IPv6 di origine dell’evento

c6a2Label

Source IPv6 Address

 

spt

36324

Porta dell'origine dell'evento

dst

127.0.0.2

Indirizzo IPv4 di destinazione dell’evento

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Indirizzo IPv6 di destinazione dell’evento

c6a3Label

Destination IPv6 Address

 

dpt

24

Porta di destinazione dell’evento

proto

http

Protocollo

act

Blocked

Azione intrapresa

cn1

1

Il rilevamento è stato gestito (1) o non è stato gestito (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Nome dell'account utente associato all'evento

deviceProcessName

someApp.exe

Nome del processo associato all'evento

deviceDirection

1

La connessione era in entrata (0) o in uscita (1)

cnt

3

Numero degli stessi messaggi generati dall’endpoint tra due repliche consecutive tra ESET PROTECT e ESET Management Agent

cs1

 

ID regola

cs1Label

Rule ID

 

cs2

custom_rule_12

Nome regola

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Nome minaccia

cs3Label

Threat Name

 

arrow_down_business Esempio di rapporto CEF degli eventi “firewall”:

HIPS eventi

Nome dell’estensione

Esempio

Descrizione

cs1

Suspicious attempt to launch an application

ID regola

cs1Label

Rule ID

 

cs2

custom_rule_12

Nome regola

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Nome applicazione

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Operazione

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Destinazione

cs5Label

Target

 

act

Blocked

Azione intrapresa

cs2

custom_rule_12

Nome regola

cn1

1

Il rilevamento è stato gestito (1) o non è stato gestito (0)

cn1Label

Handled

 

cnt

3

Numero degli stessi messaggi generati dall’endpoint tra due repliche consecutive tra ESET PROTECT e ESET Management Agent

arrow_down_business Esempio di rapporto CEF degli eventi “HIPS”:

Eventi di controllo

Nome dell’estensione

Esempio

Descrizione

act

Login attempt

Azione che viene eseguita

suser

Administrator

Utente coinvolto

duser

Administrator

Utente di protezione mirato (ad esempio, per tentativi di autenticazione)

msg

Authenticating native user 'Administrator'

Descrizione dettagliata dell'azione

cs1

Native user

Dominio del rapporto di audit

cs1Label

Audit Domain

 

cs2

Success

Risultato azione

cs2Label

Result

 

arrow_down_business Esempio di rapporto CEF degli eventi “controllo”:

ESET Inspect eventi

Nome dell’estensione

Esempio

Descrizione

deviceProcessName

c:\\imagepath_bin.exe

Nome del processo che causa questo allarme

suser

HP\\home

Proprietario del processo

cs2

custom_rule_12

Nome della regola che attiva questo allarme

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hash SHA1 allarme

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Collegamento all’allarme in ESET Inspect Web Console

cs4Label

EI Console Link

 

cs5

126

Sottoparte ID del collegamento allarme ($1 in ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Punteggio gravità computer

cn1Label

ComputerSeverityScore

 

cn2

60

Punteggio gravità regola

cn2Label

SeverityScore

 

cnt

3

Numero di avvisi dello stesso tipo generati dall’ultimo allarme

arrow_down_business Esempio di rapporto CEF degli eventi “ESET Inspect”:

Eventi file bloccati

Nome dell’estensione

Esempio

Descrizione

act

Execution blocked

Azione intrapresa

cn1

1

Il rilevamento è stato gestito (1) o non è stato gestito (0)

cn1Label

Handled

 

suser

HP\\home

Nome dell'account utente associato all'evento

deviceProcessName

C:\\Windows\\explorer.exe

Nome del processo associato all'evento

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hash SHA1 del file bloccato

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Oggetto URI

msg

ESET Inspect

Descrizione del file bloccato

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Ora e data in cui il rilevamento è stato trovato per la prima volta sulla macchina. Il formato è %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Causa

cs2Label

Cause

 

arrow_down_business Esempio di rapporto CEF degli eventi “file bloccati”:

Eventi siti web filtrati

Nome dell’estensione

Esempio

Descrizione

msg

An attempt to connect to URL

Tipo di evento

act

Blocked

Azione intrapresa

cn1

1

Il rilevamento è stato gestito (1) o non è stato gestito (0)

cn1Label

Handled

 

suser

Peter

Nome dell'account utente associato all'evento

deviceProcessName

Firefox

Nome del processo associato all'evento

cs1

Blocked by PUA blacklist

ID regola

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL della richiesta bloccata

dst

172.17.9.224

Indirizzo IPv4 di destinazione dell’evento

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Indirizzo IPv6 di destinazione dell’evento

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

ID scanner

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Hash SHA1 dell'oggetto filtrato

cs3Label

Hash

 

arrow_down_business Esempio di rapporto CEF degli eventi “sito web filtrato”: