Eventos exportados para o formato CEF
Para filtrar os relatórios de evento enviados para o Syslog, crie uma notificação de categoria de relatório com um filtro definido.
CEF é um formato de relatório baseado em texto desenvolvido por ArcSight™. O formato CEF inclui um cabeçalho CEF e uma extensão CEF. A extensão contém uma lista de pares de valor de chave.
Cabeçalho CEF
Cabeçalho |
Exemplo |
Descrição |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT versão |
Device Event Class ID (Signature ID): |
109 |
Identificador exclusivo da categoria de evento do dispositivo: •100 – Evento de ameaça 199 •200 – Evento de firewall 299 •300399 HIPS evento •400–499 evento de auditoria •500–599 ESET Inspect evento •600 – Evento de arquivos bloqueados 699 •700 – Evento de sites filtrados 799 |
Event Name |
Detected port scanning attack |
Uma breve descrição do que aconteceu no evento |
Severity |
5 |
Gravidade 0–10 |
Extensões CEF comuns para todas as categorias
Nome da extensão |
Exemplo |
Descrição |
---|---|---|
cat |
ESET Threat Event |
Categoria de evento: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
Endereço IPv4 do computador gerando o evento. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Endereço IPv6 do computador gerando o evento. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Nome de host do computador com o evento |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
UUID do computador gerando o evento. |
rt |
Jun 04 2017 14:10:0 |
Hora UTC de ocorrência do evento. O formato é %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
O caminho completo para o grupo estático do computador gerando o evento. Se o caminho for maior que 255 caracteres o ESETProtectDeviceGroupName vai ter apenas o nome do grupo estático. |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
Informações sobre o sistema operacional do computador. |
ESETProtectDeviceGroupDescription |
Lost & found static group |
Descrição do grupo estático. |
Extensões CEF por categoria de evento
Eventos de ameaça
Nome da extensão |
Exemplo |
Descrição |
---|---|---|
cs1 |
W97M/Kojer.A |
Nome da ameaça encontrada |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Versão do mecanismo de detecção |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Tipo de detecção |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
ID do Scanner |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
ID de rastreamento |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Mensagem de erro se a "ação" não for bem sucedida |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Descrição breve do que causou o evento |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
SHA1 hash do fluxo de dados (detecção). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
A ação foi realizada pelo endpoint |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Objeto URI |
fileType |
File |
Tipo de objeto relacionado ao evento |
cn1 |
1 |
A detecção foi tratada (1) ou não foi tratada (0) |
cn1Label |
Handled |
|
cn2 |
0 |
É necessário reiniciar (1) ou não é necessário reiniciar (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Nome da conta de usuário associada ao evento |
sprod |
C:\\7-Zip\\7z.exe |
O nome do processo de origem do evento |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
A hora e a data em que a detecção foi encontrada pela primeira vez na máquina. O formato é %b %d %Y %H:%M:%S |
Exemplo de relatório CEF de evento de ameaça:
Eventos de firewall
Nome da extensão |
Exemplo |
Descrição |
---|---|---|
msg |
TCP Port Scanning attack |
Nome do evento |
src |
127.0.0.1 |
Endereço de origem do evento IPv4 |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Endereço de origem do evento IPv6 |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Porta de origem do evento |
dst |
127.0.0.2 |
Endereço IPv4 de destino do evento |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Endereço IPv6 de destino do evento |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Porta de destino de evento |
proto |
http |
Protocolo |
act |
Blocked |
Ação realizada |
cn1 |
1 |
A detecção foi tratada (1) ou não foi tratada (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Nome da conta de usuário associada ao evento |
deviceProcessName |
someApp.exe |
Nome do processo associado ao evento |
deviceDirection |
1 |
A conexão era de entrada (0) ou saída (1) |
cnt |
3 |
O número das mesmas mensagens geradas pelo endpoint entre duas replicações consecutivas entre o ESET PROTECT e o Agente ESET Management |
cs1 |
|
ID de regra |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nome da regra |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Nome da ameaça |
cs3Label |
Threat Name |
|
Exemplo de relatório CEF de evento de firewall:
HIPS eventos
Nome da extensão |
Exemplo |
Descrição |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
ID de regra |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nome da regra |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Nome do aplicativo |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Operação |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Destino |
cs5Label |
Target |
|
act |
Blocked |
Ação realizada |
cs2 |
custom_rule_12 |
Nome da regra |
cn1 |
1 |
A detecção foi tratada (1) ou não foi tratada (0) |
cn1Label |
Handled |
|
cnt |
3 |
O número das mesmas mensagens geradas pelo endpoint entre duas replicações consecutivas entre o ESET PROTECT e o Agente ESET Management |
Exemplo de relatório CEF de evento HIPS:
Eventos de auditoria
Nome da extensão |
Exemplo |
Descrição |
---|---|---|
act |
Login attempt |
Ação sendo realizada |
suser |
Administrator |
Usuário de segurança envolvido |
duser |
Administrator |
Usuário de segurança de destino (por exemplo, para tentativas de login) |
msg |
Authenticating native user 'Administrator' |
Uma descrição detalhada da ação |
cs1 |
Native user |
Domínio de relatório de auditoria |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Resultado da ação |
cs2Label |
Result |
|
Exemplo de relatório CEF de evento de auditoria:
ESET Inspect eventos
Nome da extensão |
Exemplo |
Descrição |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Nome do processo causando esse alarme |
suser |
HP\\home |
Proprietário do processo |
cs2 |
custom_rule_12 |
Nome da regra acionando este alarme |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Alarme de hash SHA1 |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Link para o alarme no Web Console ESET Inspect |
cs4Label |
EI Console Link |
|
cs5 |
126 |
ID da subparte do link de alarme ($1 no ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Pontuação de gravidade do computador |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Pontuação de gravidade da regra |
cn2Label |
SeverityScore |
|
cnt |
3 |
O número de alertas do mesmo tipo gerados desde o último alarme |
Exemplo de relatório CEF de evento ESET Inspect:
Eventos de arquivos bloqueados
Nome da extensão |
Exemplo |
Descrição |
---|---|---|
act |
Execution blocked |
Ação realizada |
cn1 |
1 |
A detecção foi tratada (1) ou não foi tratada (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Nome da conta de usuário associada ao evento |
deviceProcessName |
C:\\Windows\\explorer.exe |
Nome do processo associado ao evento |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hash SHA1 do arquivo bloqueado |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Objeto URI |
msg |
ESET Inspect |
Descrição do arquivo bloqueado |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
A hora e a data em que a detecção foi encontrada pela primeira vez na máquina. O formato é %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Causa |
cs2Label |
Cause |
|
Exemplo de relatório CEF de evento de arquivos bloqueados:
Eventos de site filtrados
Nome da extensão |
Exemplo |
Descrição |
---|---|---|
msg |
An attempt to connect to URL |
Tipo do evento |
act |
Blocked |
Ação realizada |
cn1 |
1 |
A detecção foi tratada (1) ou não foi tratada (0) |
cn1Label |
Handled |
|
suser |
Peter |
Nome da conta de usuário associada ao evento |
deviceProcessName |
Firefox |
Nome do processo associado ao evento |
cs1 |
Blocked by PUA blacklist |
ID de regra |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL de solicitação bloqueada |
dst |
172.17.9.224 |
Endereço de destino do evento IPv4 |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Endereço de destino do evento IPv6 |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
ID do Scanner |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Hashs SHA1 do objeto filtrado |
cs3Label |
Hash |
|