Eventi esportati in formato CEF
Per filtrare i rapporti degli eventi inviati a Syslog, creare una notifica della categoria di rapporti con un filtro definito.
CEF è un formato di rapporto testuale sviluppato da ArcSight™. Il formato CEF include un’intestazione CEF e un’estensione CEF. L’estensione contiene un elenco di coppie chiave-valore.
Intestazione CEF
Intestazioni |
Esempio |
Descrizione |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT più recente |
Device Event Class ID (Signature ID): |
109 |
Identificatore univoco della categoria dell’evento del dispositivo: •100: evento minaccia199 •200: evento firewall299 •300–399 HIPS evento •400–499 evento di controllo •500–599 ESET Inspect evento •600: Evento file bloccati 699 •700: evento siti web filtrati 799 |
Event Name |
Detected port scanning attack |
Breve descrizione di ciò che è successo nell’evento |
Severity |
5 |
Gravità 0–10 |
Estensioni CEF comuni a tutte le categorie
Nome dell’estensione |
Esempio |
Descrizione |
---|---|---|
cat |
ESET Threat Event |
Categorie evento: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
Indirizzo IPv4 del computer che genera l'evento. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Indirizzo IPv6 del computer che genera l'evento. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Nome host del computer con l'evento |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
UUID del computer che genera l'evento. |
flexString1 |
Lost & Found |
Nome del gruppo del computer che genera l’evento |
flexString1Label |
Device Group Name |
|
rt |
Jun 04 2017 14:10:0 |
Ora UTC di occorrenza dell'evento. Il formato è %b %d %Y %H:%M:%S |
Estensioni CEF in base alla categoria dell’evento
Eventi minacce
Nome dell’estensione |
Esempio |
Descrizione |
---|---|---|
cs1 |
W97M/Kojer.A |
Nome della minaccia trovata |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Versione motore di rilevamento |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Tipo di rilevamento |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
ID scanner |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
ID controllo |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Messaggio di errore se l’“azione” non è stata eseguita correttamente |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Breve descrizione della causa dell'evento |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
Hash SHA1 del flusso di dati (rilevamento). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
L’azione è stata eseguita dall’endpoint |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Oggetto URI |
fileType |
File |
Tipo di oggetto correlato all’evento |
cn1 |
1 |
Il rilevamento è stato gestito (1) o non è stato gestito (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Il riavvio è necessario (1) o non è necessario (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Nome dell'account utente associato all'evento |
sprod |
C:\\7-Zip\\7z.exe |
Nome del processo di origine dell’evento |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Ora e data in cui il rilevamento è stato trovato per la prima volta sulla macchina. Il formato è %b %d %Y %H:%M:%S |
Esempio di rapporto CEF degli eventi “minaccia”:
Eventi firewall
Nome dell’estensione |
Esempio |
Descrizione |
---|---|---|
msg |
TCP Port Scanning attack |
Nome evento |
src |
127.0.0.1 |
Indirizzo IPv4 di origine dell’evento |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Indirizzo IPv6 di origine dell’evento |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Porta dell'origine dell'evento |
dst |
127.0.0.2 |
Indirizzo IPv4 di destinazione dell’evento |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Indirizzo IPv6 di destinazione dell’evento |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Porta di destinazione dell’evento |
proto |
http |
Protocollo |
act |
Blocked |
Azione intrapresa |
cn1 |
1 |
Il rilevamento è stato gestito (1) o non è stato gestito (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Nome dell'account utente associato all'evento |
deviceProcessName |
someApp.exe |
Nome del processo associato all'evento |
deviceDirection |
1 |
La connessione era in entrata (0) o in uscita (1) |
cnt |
3 |
Numero degli stessi messaggi generati dall’endpoint tra due repliche consecutive tra ESET PROTECT e ESET Management Agent |
cs1 |
|
ID regola |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nome regola |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Nome minaccia |
cs3Label |
Threat Name |
|
Esempio di rapporto CEF degli eventi “firewall”:
HIPS eventi
Nome dell’estensione |
Esempio |
Descrizione |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
ID regola |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nome regola |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Nome applicazione |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Operazione |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Destinazione |
cs5Label |
Target |
|
act |
Blocked |
Azione intrapresa |
cs2 |
custom_rule_12 |
Nome regola |
cn1 |
1 |
Il rilevamento è stato gestito (1) o non è stato gestito (0) |
cn1Label |
Handled |
|
cnt |
3 |
Numero degli stessi messaggi generati dall’endpoint tra due repliche consecutive tra ESET PROTECT e ESET Management Agent |
Esempio di rapporto CEF degli eventi “HIPS”:
Eventi di controllo
Nome dell’estensione |
Esempio |
Descrizione |
---|---|---|
act |
Login attempt |
Azione che viene eseguita |
suser |
Administrator |
Utente coinvolto |
duser |
Administrator |
Utente di protezione mirato (ad esempio, per tentativi di autenticazione) |
msg |
Authenticating native user 'Administrator' |
Descrizione dettagliata dell'azione |
cs1 |
Native user |
Dominio del rapporto di audit |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Risultato azione |
cs2Label |
Result |
|
Esempio di rapporto CEF degli eventi “controllo”:
ESET Inspect eventi
Nome dell’estensione |
Esempio |
Descrizione |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Nome del processo che causa questo allarme |
suser |
HP\\home |
Proprietario del processo |
cs2 |
custom_rule_12 |
Nome della regola che attiva questo allarme |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hash SHA1 allarme |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Collegamento all’allarme in ESET Inspect Web Console |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Sottoparte ID del collegamento allarme ($1 in ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Punteggio gravità computer |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Punteggio gravità regola |
cn2Label |
SeverityScore |
|
cnt |
3 |
Numero di avvisi dello stesso tipo generati dall’ultimo allarme |
Esempio di rapporto CEF degli eventi “ESET Inspect”:
Eventi file bloccati
Nome dell’estensione |
Esempio |
Descrizione |
---|---|---|
act |
Execution blocked |
Azione intrapresa |
cn1 |
1 |
Il rilevamento è stato gestito (1) o non è stato gestito (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Nome dell'account utente associato all'evento |
deviceProcessName |
C:\\Windows\\explorer.exe |
Nome del processo associato all'evento |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hash SHA1 del file bloccato |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Oggetto URI |
msg |
ESET Inspect |
Descrizione del file bloccato |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Ora e data in cui il rilevamento è stato trovato per la prima volta sulla macchina. Il formato è %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Causa |
cs2Label |
Cause |
|
Esempio di rapporto CEF degli eventi “file bloccati”:
Eventi siti web filtrati
Nome dell’estensione |
Esempio |
Descrizione |
---|---|---|
msg |
An attempt to connect to URL |
Tipo di evento |
act |
Blocked |
Azione intrapresa |
cn1 |
1 |
Il rilevamento è stato gestito (1) o non è stato gestito (0) |
cn1Label |
Handled |
|
suser |
Peter |
Nome dell'account utente associato all'evento |
deviceProcessName |
Firefox |
Nome del processo associato all'evento |
cs1 |
Blocked by PUA blacklist |
ID regola |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL della richiesta bloccata |
dst |
172.17.9.224 |
Indirizzo IPv4 di destinazione dell’evento |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Indirizzo IPv6 di destinazione dell’evento |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
ID scanner |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Hash SHA1 dell'oggetto filtrato |
cs3Label |
Hash |
|