События, экспортируемые в формат CEF
Для фильтрации журналов событий, отправленных в системный журнал, создайте уведомление о категории журнала с заданным фильтром.
CEF — это текстовый формат журнала, разработанный компанией ArcSight™. Формат CEF включает в себя заголовок CEF и расширение CEF. Расширение содержит список пар ключ—значение.
Заголовок CEF
Заголовкa |
Пример |
Описание |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
версия ESET PROTECT |
Device Event Class ID (Signature ID): |
109 |
Уникальный идентификатор категории события на устройстве: •100–199: событие об угрозе •200–299: событие файервола •300–399 HIPS событие •400–499 событие аудита •500–599 ESET Inspect событие •600–699: событие блокировки файлов •700–799: событие фильтрации веб-сайтов |
Event Name |
Detected port scanning attack |
Краткое описание происшедшего в рамках события |
Severity |
5 |
Серьезность 0–10 |
Расширения CEF, общие для всех категорий
Имя расширения |
Пример |
Описание |
---|---|---|
cat |
ESET Threat Event |
Категория события: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
IPv4-адрес компьютера, создавшего событие. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
IPv6-адрес компьютера, создавшего событие. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Имя хоста компьютера с событием |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
идентификатор UUID компьютера, создавшего событие. |
flexString1 |
Lost & Found |
Имя группы компьютера, создавшего событие. |
flexString1Label |
Device Group Name |
|
rt |
Jun 04 2017 14:10:0 |
Время события в формате UTC. Формат: %b %d %Y %H:%M:%S |
Расширения CEF по категории событий
События об угрозе
Имя расширения |
Пример |
Описание |
---|---|---|
cs1 |
W97M/Kojer.A |
Имя найденной угрозы |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Версия модуля обнаружения |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Тип обнаружения |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
Идентификатор модуля сканирования. |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
Идентификатор сканирования. |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Сообщение об ошибке, если «действие» не было успешным. |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Краткое описание причины события. |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
SHA1-хеш потока данных (обнаружения). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
Действие выполнено конечной точкой. |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Объект URI |
fileType |
File |
Тип объекта, связанный с событием. |
cn1 |
1 |
Обнаружение обработано (1) или не обработано (0). |
cn1Label |
Handled |
|
cn2 |
0 |
Перезапуск требуется (1) или не требуется (0). |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Имя учетной записи пользователя, связанной с событием. |
sprod |
C:\\7-Zip\\7z.exe |
Имя процесса источника события. |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Время и дата, когда обнаружение было впервые выявлено на компьютере. Формат: %b %d %Y %H:%M:%S |
Пример журнала CEF для события об угрозе:
События файервола
Имя расширения |
Пример |
Описание |
---|---|---|
msg |
TCP Port Scanning attack |
Имя события. |
src |
127.0.0.1 |
IPv4-адрес источника события. |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
IPv6-адрес источника события. |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Порт источника события. |
dst |
127.0.0.2 |
IPv4-адрес цели события. |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
IPv6-адрес цели события. |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Порт цели события. |
proto |
http |
Протокол |
act |
Blocked |
Действие выполнено |
cn1 |
1 |
Обнаружение обработано (1) или не обработано (0). |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Имя учетной записи пользователя, связанной с событием. |
deviceProcessName |
someApp.exe |
Имя процесса, связанного с событием. |
deviceDirection |
1 |
Соединение было входящим (0) или исходящим (1). |
cnt |
3 |
Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между решением ESET PROTECT и агентом ESET Management. |
cs1 |
|
Идентификатор правила |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Имя правила |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Имя угрозы |
cs3Label |
Threat Name |
|
Пример журнала CEF для события файервола:
HIPS события
Имя расширения |
Пример |
Описание |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
Идентификатор правила |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Имя правила |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Имя приложения |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Операция |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Объект |
cs5Label |
Target |
|
act |
Blocked |
Действие выполнено |
cs2 |
custom_rule_12 |
Имя правила |
cn1 |
1 |
Обнаружение обработано (1) или не обработано (0). |
cn1Label |
Handled |
|
cnt |
3 |
Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между решением ESET PROTECT и агентом ESET Management. |
Пример журнала CEF для события системы HIPS:
События аудита
Имя расширения |
Пример |
Описание |
---|---|---|
act |
Login attempt |
Выполняемое действие |
suser |
Administrator |
Пользователь программы для обеспечения безопасности |
duser |
Administrator |
Целевой пользователь системы безопасности (например, при попытках авторизации) |
msg |
Authenticating native user 'Administrator' |
Подробное описание действия |
cs1 |
Native user |
Домен журнала аудита |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Результат действия |
cs2Label |
Result |
|
Пример журнала CEF для события аудита:
ESET Inspect события
Имя расширения |
Пример |
Описание |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Имя процесса, инициировавшего это предупреждение |
suser |
HP\\home |
Владелец процесса |
cs2 |
custom_rule_12 |
Имя правила, инициировавшего это предупреждение |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Хэш SHA1 предупреждения |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Ссылка на предупреждение в веб-консоли ESET Inspect |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Подчасть идентификатора ссылки на предупреждение ($1 в ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Оценка серьезности угроз на компьютере |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Оценка серьезности правила |
cn2Label |
SeverityScore |
|
cnt |
3 |
Количество предупреждений одного типа, созданных с момента последнего предупреждения |
Пример журнала CEF для события ESET Inspect:
События блокировки файлов
Имя расширения |
Пример |
Описание |
---|---|---|
act |
Execution blocked |
Действие выполнено |
cn1 |
1 |
Обнаружение обработано (1) или не обработано (0). |
cn1Label |
Handled |
|
suser |
HP\\home |
Имя учетной записи пользователя, связанной с событием. |
deviceProcessName |
C:\\Windows\\explorer.exe |
Имя процесса, связанного с событием. |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Хеш SHA1 заблокированного файла |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Объект URI |
msg |
ESET Inspect |
Описание заблокированного файла |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Время и дата, когда обнаружение было впервые выявлено на компьютере. Формат: %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Причина |
cs2Label |
Cause |
|
Пример журнала CEF для события блокировки файлов:
События фильтрации веб-сайтов
Имя расширения |
Пример |
Описание |
---|---|---|
msg |
An attempt to connect to URL |
Тип события |
act |
Blocked |
Действие выполнено |
cn1 |
1 |
Обнаружение обработано (1) или не обработано (0). |
cn1Label |
Handled |
|
suser |
Peter |
Имя учетной записи пользователя, связанной с событием. |
deviceProcessName |
Firefox |
Имя процесса, связанного с событием. |
cs1 |
Blocked by PUA blacklist |
Идентификатор правила |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL-адрес заблокированного запроса. |
dst |
172.17.9.224 |
IPv4-адрес цели события. |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
IPv6-адрес цели события. |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
Идентификатор модуля сканирования. |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Хеш SHA1 отфильтрованного объекта |
cs3Label |
Hash |
|