Události exportované do CEF formátu

Kopírovat odkaz na aktuální článek Sdílet e-mailem

Tento článek (PDF) Celá dokumentace (PDF)

Pokud chcete na Syslog server zasílat pouze některé události, vytvořit si oznámení s vámi požadovaným filtrem.

CEF je textový formát protokolu vyvinutý společností ArcSight™. Zpráva ve formátu CEF se skládá z CEF hlavičky a CEF rozšíření. Rozšíření obsahuje seznam párů klíč-hodnota.

CEF hlavička

Hlavička	Příklad	Popis
Device Vendor	ESET
Device Product	Protect
Device Version	10.0.5.1	Verze ESET PROTECT
Device Event Class ID (Signature ID):	109	Unikátní identifikátor kategorie události na zařízení: •100-199 Detekce hrozby •200-299 Událost firewallu •300-399 HIPS událost •400–499 Záznam z audit logu •500-599 ESET Inspect událost •600-699 Blokované soubory •700-799 Filtrované webové stránky
Event Name	Detected port scanning attack	Popis s informací, co způsobilo událost
Severity	5	Závažnost 0-10

CEF rozšíření společné pro všechny kategorie

Název rozšíření	Příklad	Popis
cat	ESET Threat Event	Kategorie události: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	IPv4 adresa počítače, který vygeneroval událost
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	IPv6 adresa počítače, který vygeneroval událost
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	Název počítače, který vygeneroval událost
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	UUID počítače, který vygeneroval událost
rt	Jun 04 2017 14:10:0	Čas v UTC formátu, kdy událost vznikla. Formát je %b %d %Y %H:%M:%S
ESETProtectDeviceGroupName	All/Lost & found	Statická skupina, ve které se nachází počítač, který vygeneroval událost. Pokud je cesta delší než 255 znaků, bude obsahovat ESETProtectDeviceGroupName pouze název statické skupiny.
ESETProtectDeviceOsName	Microsoft Windows 11 Pro	Informace o operačním systému počítače.
ESETProtectDeviceGroupDescription	Lost & found static group	Popis statické skupiny.

CEF rozšíření podle kategorie

Detekce hrozby

Název rozšíření	Příklad	Popis
cs1	W97M/Kojer.A	Název nalezené hrozby
cs1Label	Threat Name
cs2	25898 (20220909)	Verze detekčního jádra
cs2Label	Engine Version
cs3	Virus	Typ detekce
cs3Label	Threat Type
cs4	Real-time file system protection	ID skeneru
cs4Label	Scanner ID
cs5	virlog.dat	ID kontroly
cs5Label	Scan ID
cs6	Failed to remove file	Chybová zpráva v případě, že se "akci" nepodařilo úspěšně provést
cs6Label	Action Error
cs7	Event occurred on a newly created file	Krátký popis s informací, co způsobilo událost
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	SHA1 kontrolní součet (detekce) data streamu.
cs8Label	Hash
act	Cleaned by deleting file	Provedená akce s objektem
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	URI objektu
fileType	File	Typ objektu související s událostí
cn1	1	Detekce byla zpracována (1) nebo nebyla zpracována (0)
cn1Label	Handled
cn2	0	Vyžadován restart (1) nebo není vyžadován restart (0)
cn2Label	Restart Needed
suser	172-MG\\Administrator	Název uživatelského účtu spojeného s touto událostí
sprod	C:\\7-Zip\\7z.exe	Název procesu zdroje události
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Datum a čas první detekce na zařízení. Formát je %b %d %Y %H:%M:%S

Příklad protokolu o zachycených hrozbách ve formátu CEF:

Události firewallu

Název rozšíření	Příklad	Popis
msg	TCP Port Scanning attack	Název události
src	127.0.0.1	IPv4 adresa zdroje události
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	IPv6 adresa zdroje události
c6a2Label	Source IPv6 Address
spt	36324	Port zdroje události
dst	127.0.0.2	IPv4 adresa cíle události
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	IPv6 adresa cíle události
c6a3Label	Destination IPv6 Address
dpt	24	Cílový port události
proto	http	Protokol
act	Blocked	Akce
cn1	1	Detekce byla zpracována (1) nebo nebyla zpracována (0)
cn1Label	Handled
suser	172-MG\\Administrator	Název uživatelského účtu spojeného s touto událostí
deviceProcessName	someApp.exe	Název procesu spojeného s touto událostí
deviceDirection	1	Informace, zda se jednalo o příchozí (0) nebo odchozí spojení (1)
cnt	3	Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET Management Agenta na ESET PROTECT.
cs1		ID pravidla
cs1Label	Rule ID
cs2	custom_rule_12	Název pravidla
cs2Label	Rule Name
cs3	Win32/Botnet.generic	Název hrozby
cs3Label	Threat Name

Příklad protokolu o událostech firewallu ve formátu CEF:

HIPS události

Název rozšíření	Příklad	Popis
cs1	Suspicious attempt to launch an application	ID pravidla
cs1Label	Rule ID
cs2	custom_rule_12	Název pravidla
cs2Label	Rule Name
cs3	C:\\someapp.exe	Název aplikace
cs3Label	Application
cs4	Attempt to run a suspicious object	Operace
cs4Label	Operation
cs5	C:\\somevirus.exe	Cíl
cs5Label	Target
act	Blocked	Akce
cs2	custom_rule_12	Název pravidla
cn1	1	Detekce byla zpracována (1) nebo nebyla zpracována (0)
cn1Label	Handled
cnt	3	Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET Management Agenta na ESET PROTECT.

Příklad protokolu o událostech HIPS ve formátu CEF:

Záznamy z audit logu

Název rozšíření	Příklad	Popis
act	Login attempt	Akce
suser	Administrator	Uživatel, který akci provádí
duser	Administrator	Cílový uživatel zabezpečení (například při pokusech o přihlášení)
msg	Authenticating native user 'Administrator'	Detailní popis akce
cs1	Native user	Doména
cs1Label	Audit Domain
cs2	Success	Výsledek akce
cs2Label	Result

Příklad protokolu auditu ve formátu CEF:

ESET Inspect události

Název rozšíření	Příklad	Popis
deviceProcessName	c:\\imagepath_bin.exe	Název procesu, který způsobil tento alarm
suser	HP\\home	Vlastník procesu
cs2	custom_rule_12	Název pravidla, které aktivovalo tento alarm
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	SHA-1 kontrolní součet alarmu
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	Odkaz na alarm do ESET Inspect Web Console
cs4Label	EI Console Link
cs5	126	ID části odkazu alarmu ($1 v ^http.*/alarm/([0-9]+)$)
cs5Label	EI Alarm ID
cn1	275	Úroveň závažnosti počítače
cn1Label	ComputerSeverityScore
cn2	60	Skóre závažnosti pravidla
cn2Label	SeverityScore
cnt	3	Počet oznámení, vygenerovaných tímto typem, od posledního alarmu

Příklad protokolu události v ESET Inspect ve formátu CEF:

Blokované soubory

Název rozšíření	Příklad	Popis
act	Execution blocked	Akce
cn1	1	Detekce byla zpracována (1) nebo nebyla zpracována (0)
cn1Label	Handled
suser	HP\\home	Název uživatelského účtu spojeného s touto událostí
deviceProcessName	C:\\Windows\\explorer.exe	Název procesu spojeného s touto událostí
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	SHA-1 kontrolní součet blokovaného souboru
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	URI objektu
msg	ESET Inspect	Popis zablokovaného souboru
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Datum a čas první detekce na zařízení. Formát je %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	Příčina
cs2Label	Cause

Příklad protokolu o blokovaných souborech ve formátu CEF:

Filtrované webové stránky

Název rozšíření	Příklad	Popis
msg	An attempt to connect to URL	Typ události
act	Blocked	Akce
cn1	1	Detekce byla zpracována (1) nebo nebyla zpracována (0)
cn1Label	Handled
suser	Peter	Název uživatelského účtu spojeného s touto událostí
deviceProcessName	Firefox	Název procesu spojeného s touto událostí
cs1	Blocked by PUA blacklist	ID pravidla
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	URL zablokovaného požadavku
dst	172.17.9.224	IPv4 adresa cíle události
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	IPv6 adresa cíle události
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	ID skeneru
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	SHA1 hash filtrovaného objektu
cs3Label	Hash

Příklad protokolu o filtrovaných webových stránkách ve formátu CEF:

˄˅