События, экспортируемые в формат CEF

Для фильтрации журналов событий, отправленных в системный журнал, создайте уведомление о категории журнала с заданным фильтром.

CEF — это текстовый формат журнала, разработанный компанией ArcSight™. Формат CEF включает в себя заголовок CEF и расширение CEF. Расширение содержит список пар ключ—значение.

Заголовок CEF

Заголовкa	Пример	Описание
Device Vendor	ESET
Device Product	Protect
Device Version	10.0.5.1	версия ESET PROTECT
Device Event Class ID (Signature ID):	109	Уникальный идентификатор категории события на устройстве: •100–199: событие об угрозе •200–299: событие файервола •300–399 HIPS событие •400–499 событие аудита •500–599 ESET Inspect событие •600–699: событие блокировки файлов •700–799: событие фильтрации веб-сайтов
Event Name	Detected port scanning attack	Краткое описание происшедшего в рамках события
Severity	5	Серьезность 0–10

Расширения CEF, общие для всех категорий

Имя расширения	Пример	Описание
cat	ESET Threat Event	Категория события: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	IPv4-адрес компьютера, создавшего событие.
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	IPv6-адрес компьютера, создавшего событие.
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	Имя хоста компьютера с событием
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	идентификатор UUID компьютера, создавшего событие.
flexString1	Lost & Found	Имя группы компьютера, создавшего событие.
flexString1Label	Device Group Name
rt	Jun 04 2017 14:10:0	Время события в формате UTC. Формат: %b %d %Y %H:%M:%S

Расширения CEF по категории событий

События об угрозе

Имя расширения	Пример	Описание
cs1	W97M/Kojer.A	Имя найденной угрозы
cs1Label	Threat Name
cs2	25898 (20220909)	Версия модуля обнаружения
cs2Label	Engine Version
cs3	Virus	Тип обнаружения
cs3Label	Threat Type
cs4	Real-time file system protection	Идентификатор модуля сканирования.
cs4Label	Scanner ID
cs5	virlog.dat	Идентификатор сканирования.
cs5Label	Scan ID
cs6	Failed to remove file	Сообщение об ошибке, если «действие» не было успешным.
cs6Label	Action Error
cs7	Event occurred on a newly created file	Краткое описание причины события.
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	SHA1-хеш потока данных (обнаружения).
cs8Label	Hash
act	Cleaned by deleting file	Действие выполнено конечной точкой.
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	Объект URI
fileType	File	Тип объекта, связанный с событием.
cn1	1	Обнаружение обработано (1) или не обработано (0).
cn1Label	Handled
cn2	0	Перезапуск требуется (1) или не требуется (0).
cn2Label	Restart Needed
suser	172-MG\\Administrator	Имя учетной записи пользователя, связанной с событием.
sprod	C:\\7-Zip\\7z.exe	Имя процесса источника события.
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Время и дата, когда обнаружение было впервые выявлено на компьютере. Формат: %b %d %Y %H:%M:%S

Пример журнала CEF для события об угрозе:

События файервола

Имя расширения	Пример	Описание
msg	TCP Port Scanning attack	Имя события.
src	127.0.0.1	IPv4-адрес источника события.
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	IPv6-адрес источника события.
c6a2Label	Source IPv6 Address
spt	36324	Порт источника события.
dst	127.0.0.2	IPv4-адрес цели события.
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	IPv6-адрес цели события.
c6a3Label	Destination IPv6 Address
dpt	24	Порт цели события.
proto	http	Протокол
act	Blocked	Действие выполнено
cn1	1	Обнаружение обработано (1) или не обработано (0).
cn1Label	Handled
suser	172-MG\\Administrator	Имя учетной записи пользователя, связанной с событием.
deviceProcessName	someApp.exe	Имя процесса, связанного с событием.
deviceDirection	1	Соединение было входящим (0) или исходящим (1).
cnt	3	Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между решением ESET PROTECT и агентом ESET Management.
cs1		Идентификатор правила
cs1Label	Rule ID
cs2	custom_rule_12	Имя правила
cs2Label	Rule Name
cs3	Win32/Botnet.generic	Имя угрозы
cs3Label	Threat Name

Пример журнала CEF для события файервола:

HIPS события

Имя расширения	Пример	Описание
cs1	Suspicious attempt to launch an application	Идентификатор правила
cs1Label	Rule ID
cs2	custom_rule_12	Имя правила
cs2Label	Rule Name
cs3	C:\\someapp.exe	Имя приложения
cs3Label	Application
cs4	Attempt to run a suspicious object	Операция
cs4Label	Operation
cs5	C:\\somevirus.exe	Объект
cs5Label	Target
act	Blocked	Действие выполнено
cs2	custom_rule_12	Имя правила
cn1	1	Обнаружение обработано (1) или не обработано (0).
cn1Label	Handled
cnt	3	Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между решением ESET PROTECT и агентом ESET Management.

Пример журнала CEF для события системы HIPS:

События аудита

Имя расширения	Пример	Описание
act	Login attempt	Выполняемое действие
suser	Administrator	Пользователь программы для обеспечения безопасности
duser	Administrator	Целевой пользователь системы безопасности (например, при попытках авторизации)
msg	Authenticating native user 'Administrator'	Подробное описание действия
cs1	Native user	Домен журнала аудита
cs1Label	Audit Domain
cs2	Success	Результат действия
cs2Label	Result

Пример журнала CEF для события аудита:

ESET Inspect события

Имя расширения	Пример	Описание
deviceProcessName	c:\\imagepath_bin.exe	Имя процесса, инициировавшего это предупреждение
suser	HP\\home	Владелец процесса
cs2	custom_rule_12	Имя правила, инициировавшего это предупреждение
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Хэш SHA1 предупреждения
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	Ссылка на предупреждение в веб-консоли ESET Inspect
cs4Label	EI Console Link
cs5	126	Подчасть идентификатора ссылки на предупреждение ($1 в ^http.*/alarm/([0-9]+)$)
cs5Label	EI Alarm ID
cn1	275	Оценка серьезности угроз на компьютере
cn1Label	ComputerSeverityScore
cn2	60	Оценка серьезности правила
cn2Label	SeverityScore
cnt	3	Количество предупреждений одного типа, созданных с момента последнего предупреждения

Пример журнала CEF для события ESET Inspect:

События блокировки файлов

Имя расширения	Пример	Описание
act	Execution blocked	Действие выполнено
cn1	1	Обнаружение обработано (1) или не обработано (0).
cn1Label	Handled
suser	HP\\home	Имя учетной записи пользователя, связанной с событием.
deviceProcessName	C:\\Windows\\explorer.exe	Имя процесса, связанного с событием.
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Хеш SHA1 заблокированного файла
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	Объект URI
msg	ESET Inspect	Описание заблокированного файла
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Время и дата, когда обнаружение было впервые выявлено на компьютере. Формат: %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	Причина
cs2Label	Cause

Пример журнала CEF для события блокировки файлов:

События фильтрации веб-сайтов

Имя расширения	Пример	Описание
msg	An attempt to connect to URL	Тип события
act	Blocked	Действие выполнено
cn1	1	Обнаружение обработано (1) или не обработано (0).
cn1Label	Handled
suser	Peter	Имя учетной записи пользователя, связанной с событием.
deviceProcessName	Firefox	Имя процесса, связанного с событием.
cs1	Blocked by PUA blacklist	Идентификатор правила
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	URL-адрес заблокированного запроса.
dst	172.17.9.224	IPv4-адрес цели события.
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	IPv6-адрес цели события.
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	Идентификатор модуля сканирования.
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	Хеш SHA1 отфильтрованного объекта
cs3Label	Hash

Пример журнала CEF для события фильтрации веб-сайта:

˄˅