Eventos exportados para o formato CEF

Para filtrar os relatórios de evento enviados para o Syslog, crie uma notificação de categoria de relatório com um filtro definido.

CEF é um formato de relatório baseado em texto desenvolvido por ArcSight™. O formato CEF inclui um cabeçalho CEF e uma extensão CEF. A extensão contém uma lista de pares de valor de chave.

Cabeçalho CEF

Cabeçalho	Exemplo	Descrição
Device Vendor	ESET
Device Product	Protect
Device Version	10.0.5.1	ESET PROTECT versão
Device Event Class ID (Signature ID):	109	Identificador exclusivo da categoria de evento do dispositivo: •100 – Evento de ameaça 199 •200 – Evento de firewall 299 •300399 HIPS evento •400–499 evento de auditoria •500–599 ESET Inspect evento •600 – Evento de arquivos bloqueados 699 •700 – Evento de sites filtrados 799
Event Name	Detected port scanning attack	Uma breve descrição do que aconteceu no evento
Severity	5	Gravidade 0–10

Extensões CEF comuns para todas as categorias

Nome da extensão	Exemplo	Descrição
cat	ESET Threat Event	Categoria de evento: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	Endereço IPv4 do computador gerando o evento.
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Endereço IPv6 do computador gerando o evento.
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	Nome de host do computador com o evento
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	UUID do computador gerando o evento.
flexString1	Lost & Found	O nome do grupo do computador gerando o evento
flexString1Label	Device Group Name
rt	Jun 04 2017 14:10:0	Hora UTC de ocorrência do evento. O formato é %b %d %Y %H:%M:%S

Extensões CEF por categoria de evento

Eventos de ameaça

Nome da extensão	Exemplo	Descrição
cs1	W97M/Kojer.A	Nome da ameaça encontrada
cs1Label	Threat Name
cs2	25898 (20220909)	Versão do mecanismo de detecção
cs2Label	Engine Version
cs3	Virus	Tipo de detecção
cs3Label	Threat Type
cs4	Real-time file system protection	ID do Scanner
cs4Label	Scanner ID
cs5	virlog.dat	ID de rastreamento
cs5Label	Scan ID
cs6	Failed to remove file	Mensagem de erro se a "ação" não for bem sucedida
cs6Label	Action Error
cs7	Event occurred on a newly created file	Descrição breve do que causou o evento
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	SHA1 hash do fluxo de dados (detecção).
cs8Label	Hash
act	Cleaned by deleting file	A ação foi realizada pelo endpoint
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	Objeto URI
fileType	File	Tipo de objeto relacionado ao evento
cn1	1	A detecção foi tratada (1) ou não foi tratada (0)
cn1Label	Handled
cn2	0	É necessário reiniciar (1) ou não é necessário reiniciar (0)
cn2Label	Restart Needed
suser	172-MG\\Administrator	Nome da conta de usuário associada ao evento
sprod	C:\\7-Zip\\7z.exe	O nome do processo de origem do evento
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	A hora e a data em que a detecção foi encontrada pela primeira vez na máquina. O formato é %b %d %Y %H:%M:%S

Exemplo de relatório CEF de evento de ameaça:

Eventos de firewall

Nome da extensão	Exemplo	Descrição
msg	TCP Port Scanning attack	Nome do evento
src	127.0.0.1	Endereço de origem do evento IPv4
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Endereço de origem do evento IPv6
c6a2Label	Source IPv6 Address
spt	36324	Porta de origem do evento
dst	127.0.0.2	Endereço IPv4 de destino do evento
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Endereço IPv6 de destino do evento
c6a3Label	Destination IPv6 Address
dpt	24	Porta de destino de evento
proto	http	Protocolo
act	Blocked	Ação realizada
cn1	1	A detecção foi tratada (1) ou não foi tratada (0)
cn1Label	Handled
suser	172-MG\\Administrator	Nome da conta de usuário associada ao evento
deviceProcessName	someApp.exe	Nome do processo associado ao evento
deviceDirection	1	A conexão era de entrada (0) ou saída (1)
cnt	3	O número das mesmas mensagens geradas pelo endpoint entre duas replicações consecutivas entre o ESET PROTECT e o Agente ESET Management
cs1		ID de regra
cs1Label	Rule ID
cs2	custom_rule_12	Nome da regra
cs2Label	Rule Name
cs3	Win32/Botnet.generic	Nome da ameaça
cs3Label	Threat Name

Exemplo de relatório CEF de evento de firewall:

HIPS eventos

Nome da extensão	Exemplo	Descrição
cs1	Suspicious attempt to launch an application	ID de regra
cs1Label	Rule ID
cs2	custom_rule_12	Nome da regra
cs2Label	Rule Name
cs3	C:\\someapp.exe	Nome do aplicativo
cs3Label	Application
cs4	Attempt to run a suspicious object	Operação
cs4Label	Operation
cs5	C:\\somevirus.exe	Destino
cs5Label	Target
act	Blocked	Ação realizada
cs2	custom_rule_12	Nome da regra
cn1	1	A detecção foi tratada (1) ou não foi tratada (0)
cn1Label	Handled
cnt	3	O número das mesmas mensagens geradas pelo endpoint entre duas replicações consecutivas entre o ESET PROTECT e o Agente ESET Management

Exemplo de relatório CEF de evento HIPS:

Eventos de auditoria

Nome da extensão	Exemplo	Descrição
act	Login attempt	Ação sendo realizada
suser	Administrator	Usuário de segurança envolvido
duser	Administrator	Usuário de segurança de destino (por exemplo, para tentativas de login)
msg	Authenticating native user 'Administrator'	Uma descrição detalhada da ação
cs1	Native user	Domínio de relatório de auditoria
cs1Label	Audit Domain
cs2	Success	Resultado da ação
cs2Label	Result

Exemplo de relatório CEF de evento de auditoria:

ESET Inspect eventos

Nome da extensão	Exemplo	Descrição
deviceProcessName	c:\\imagepath_bin.exe	Nome do processo causando esse alarme
suser	HP\\home	Proprietário do processo
cs2	custom_rule_12	Nome da regra acionando este alarme
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Alarme de hash SHA1
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	Link para o alarme no Web Console ESET Inspect
cs4Label	EI Console Link
cs5	126	ID da subparte do link de alarme ($1 no ^http.*/alarm/([0-9]+)$)
cs5Label	EI Alarm ID
cn1	275	Pontuação de gravidade do computador
cn1Label	ComputerSeverityScore
cn2	60	Pontuação de gravidade da regra
cn2Label	SeverityScore
cnt	3	O número de alertas do mesmo tipo gerados desde o último alarme

Exemplo de relatório CEF de evento ESET Inspect:

Eventos de arquivos bloqueados

Nome da extensão	Exemplo	Descrição
act	Execution blocked	Ação realizada
cn1	1	A detecção foi tratada (1) ou não foi tratada (0)
cn1Label	Handled
suser	HP\\home	Nome da conta de usuário associada ao evento
deviceProcessName	C:\\Windows\\explorer.exe	Nome do processo associado ao evento
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Hash SHA1 do arquivo bloqueado
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	Objeto URI
msg	ESET Inspect	Descrição do arquivo bloqueado
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	A hora e a data em que a detecção foi encontrada pela primeira vez na máquina. O formato é %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	Causa
cs2Label	Cause

Exemplo de relatório CEF de evento de arquivos bloqueados:

Eventos de site filtrados

Nome da extensão	Exemplo	Descrição
msg	An attempt to connect to URL	Tipo do evento
act	Blocked	Ação realizada
cn1	1	A detecção foi tratada (1) ou não foi tratada (0)
cn1Label	Handled
suser	Peter	Nome da conta de usuário associada ao evento
deviceProcessName	Firefox	Nome do processo associado ao evento
cs1	Blocked by PUA blacklist	ID de regra
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	URL de solicitação bloqueada
dst	172.17.9.224	Endereço de destino do evento IPv4
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Endereço de destino do evento IPv6
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	ID do Scanner
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	Hashs SHA1 do objeto filtrado
cs3Label	Hash

Exemplo de relatório CEF de evento de site filtrado:

˄˅