Zdarzenia eksportowane do formatu CEF
Aby filtrować dzienniki zdarzeń wysyłane do programu Syslog, utwórz powiadomienie o kategorii dziennika ze zdefiniowanym filtrem.
CEF to tekstowy format dziennika opracowany przez ArcSight™. Format CEF zawiera nagłówek CEF i rozszerzenie CEF. Rozszerzenie zawiera listę par klucz-wartość.
CEF nagłówki
Nagłówki |
Przykład |
Opis |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT wersja |
Device Event Class ID (Signature ID): |
109 |
Unikatowy identyfikator kategorii zdarzeń urządzenia: •100–199 Wystąpienie zagrożenia •200–299 Zdarzenie zapory •300–399 HIPS zdarzenie •400–499 zdarzenie audytu •500–599 ESET Inspect zdarzenie •600–699 zdarzenie Zablokowane pliki •700–799 zdarzenie Filtrowane strony internetowe |
Event Name |
Detected port scanning attack |
Krótki opis tego, co miało miejsce podczas zdarzenia |
Severity |
5 |
Stopień zagrożenia 0–10 |
Rozszerzenia CEF wspólne dla wszystkich kategorii
Nazwa rozszerzenia |
Przykład |
Opis |
---|---|---|
cat |
ESET Threat Event |
Kategoria zdarzeń: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
Adres IPv4 komputera, który wygenerował zdarzenie. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Adres IPv6 komputera, który wygenerował zdarzenie. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Nazwa hosta komputera związanego ze zdarzeniem |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
identyfikator UUID komputera, który wygenerował zdarzenie. |
flexString1 |
Lost & Found |
Nazwa grupy komputera, który wygenerował zdarzenie |
flexString1Label |
Device Group Name |
|
rt |
Jun 04 2017 14:10:0 |
Godzina wystąpienia zdarzenia w formacie UTC. Format to %b %d %Y %H:%M:%S |
Rozszerzenia CEF według kategorii zdarzeń
Wystąpienia zagrożeń
Nazwa rozszerzenia |
Przykład |
Opis |
---|---|---|
cs1 |
W97M/Kojer.A |
Znaleziono nazwę zagrożenia |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Wersja silnika detekcji |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Typ wykrycia |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
Identyfikator skanera |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
Identyfikator skanowania |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Komunikat o błędzie generowany w przypadku, gdy „czynność” nie przyniesie żądanego efektu |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Krótki opis przyczyny zdarzenia |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
Skrót SHA1 strumienia danych (wykrycia). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
Czynność została podjęta przez punkt końcowy |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Obiekt URI |
fileType |
File |
Typ obiektu związany ze zdarzeniem |
cn1 |
1 |
Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Ponowne uruchomienie jest potrzebne (1) lub nie jest potrzebne (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Nazwa konta użytkownika związanego ze zdarzeniem |
sprod |
C:\\7-Zip\\7z.exe |
Nazwa procesu źródła zdarzenia |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Data i godzina wykrycia po raz pierwszy na maszynie. Format to %b %d %Y %H:%M:%S |
Przykład dziennika CEF wystąpienia zagrożenia:
Zdarzenia zapory
Nazwa rozszerzenia |
Przykład |
Opis |
---|---|---|
msg |
TCP Port Scanning attack |
Nazwa zdarzenia |
src |
127.0.0.1 |
Adres IPv4 źródła zdarzenia |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Adres IPv6 źródła zdarzenia |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Port źródła zdarzenia |
dst |
127.0.0.2 |
Adres IPv4 miejsca docelowego zdarzenia |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Adres IPv6 miejsca docelowego zdarzenia |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Port docelowy zdarzenia |
proto |
http |
Protokół |
act |
Blocked |
Wykonane czynności |
cn1 |
1 |
Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Nazwa konta użytkownika związanego ze zdarzeniem |
deviceProcessName |
someApp.exe |
Nazwa procesu związanego ze zdarzeniem |
deviceDirection |
1 |
Połączenie było przychodzące (0) lub wychodzące (1) |
cnt |
3 |
Liczba takich samych komunikatów wygenerowanych przez punkt końcowy między dwiema kolejnymi replikacjami między ESET PROTECT a agentem ESET Management |
cs1 |
|
Identyfikator reguły |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nazwa reguły |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Nazwa zagrożenia |
cs3Label |
Threat Name |
|
Przykład dziennika CEF zdarzenia zapory:
HIPS zdarzenia
Nazwa rozszerzenia |
Przykład |
Opis |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
Identyfikator reguły |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nazwa reguły |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Nazwa aplikacji |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Operacja |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Obiekt docelowy |
cs5Label |
Target |
|
act |
Blocked |
Wykonane czynności |
cs2 |
custom_rule_12 |
Nazwa reguły |
cn1 |
1 |
Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0) |
cn1Label |
Handled |
|
cnt |
3 |
Liczba takich samych komunikatów wygenerowanych przez punkt końcowy między dwiema kolejnymi replikacjami między ESET PROTECT a agentem ESET Management |
Przykład dziennika CEF zdarzeń systemu HIPS:
Zdarzenia audytu
Nazwa rozszerzenia |
Przykład |
Opis |
---|---|---|
act |
Login attempt |
Trwające działanie |
suser |
Administrator |
Użytkownik związany z zabezpieczeniami |
duser |
Administrator |
Użytkownik ukierunkowanych zabezpieczeń (na przykład dla prób logowania) |
msg |
Authenticating native user 'Administrator' |
Szczegółowy opis działania |
cs1 |
Native user |
Domena dzienników audytu |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Wynik działania |
cs2Label |
Result |
|
Przykład dziennika CEF zdarzenia audytu:
ESET Inspect zdarzenia
Nazwa rozszerzenia |
Przykład |
Opis |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Nazwa procesu wywołującego ten alarm |
suser |
HP\\home |
Właściciel procesu |
cs2 |
custom_rule_12 |
Nazwa reguły wyzwalającej ten alarm |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Skrót SHA1 alarmu |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Łącze do alarmu w konsoli internetowej ESET Inspect |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Podczęść ID łącza alarmowego ($1 (w ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Wynik stopnia zagrożenia komputera |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Wynik stopnia zagrożenia reguły |
cn2Label |
SeverityScore |
|
cnt |
3 |
Liczba alertów tego samego typu wygenerowanych od ostatniego alarmu |
Przykład dziennika CEF zdarzenia ESET Inspect:
Zdarzenia zablokowanych plików
Nazwa rozszerzenia |
Przykład |
Opis |
---|---|---|
act |
Execution blocked |
Wykonane czynności |
cn1 |
1 |
Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Nazwa konta użytkownika związanego ze zdarzeniem |
deviceProcessName |
C:\\Windows\\explorer.exe |
Nazwa procesu związanego ze zdarzeniem |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Skrót SHA1 zablokowanego pliku |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Obiekt URI |
msg |
ESET Inspect |
Opis zablokowanego pliku |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Data i godzina wykrycia po raz pierwszy na maszynie. Format to %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Przyczyna |
cs2Label |
Cause |
|
Przykład dziennika CEF zdarzenia zablokowanych plików:
Filtrowane zdarzenia w witrynie
Nazwa rozszerzenia |
Przykład |
Opis |
---|---|---|
msg |
An attempt to connect to URL |
Typ zdarzenia |
act |
Blocked |
Wykonane czynności |
cn1 |
1 |
Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0) |
cn1Label |
Handled |
|
suser |
Peter |
Nazwa konta użytkownika związanego ze zdarzeniem |
deviceProcessName |
Firefox |
Nazwa procesu związanego ze zdarzeniem |
cs1 |
Blocked by PUA blacklist |
Identyfikator reguły |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
Adres URL zablokowanego żądania |
dst |
172.17.9.224 |
Adres IPv4 miejsca docelowego zdarzenia |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Adres IPv6 miejsca docelowego zdarzenia |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
Identyfikator skanera |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Skrót SHA1 filtrowanego obiektu |
cs3Label |
Hash |
|