Интернет-справка ESET

Выберите категорию
Выберите тему

События, экспортируемые в формат CEF

Для фильтрации журналов событий, отправленных в системный журнал, создайте уведомление о категории журнала с заданным фильтром.

CEF — это текстовый формат журнала, разработанный компанией ArcSight™. Формат CEF включает в себя заголовок CEF и расширение CEF. Расширение содержит список пар ключ—значение.

Заголовок CEF

Заголовкa

Пример

Описание

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

версия ESET PROTECT

Device Event Class ID (Signature ID):

109

Уникальный идентификатор категории события на устройстве:

100–199: событие об угрозе

200–299: событие файервола

300–399 HIPS событие

400–499 событие аудита

500–599 ESET Inspect событие

600–699: событие блокировки файлов

700–799: событие фильтрации веб-сайтов

Event Name

Detected port scanning attack

Краткое описание происшедшего в рамках события

Severity

5

Серьезность 0–10

Расширения CEF, общие для всех категорий

Имя расширения

Пример

Описание

cat

ESET Threat Event

Категория события:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

IPv4-адрес компьютера, создавшего событие.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6-адрес компьютера, создавшего событие.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Имя хоста компьютера с событием

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

идентификатор UUID компьютера, создавшего событие.

rt

Jun 04 2017 14:10:0

Время события в формате UTC. Формат: %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

Полный путь к статической группе компьютера, создавшего событие. Если длина пути превышает 255 символов, ESETProtectDeviceGroupName содержит только имя статической группы.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

Информация об операционной системе компьютера.

ESETProtectDeviceGroupDescription

Lost & found static group

Описание статической группы.

Расширения CEF по категории событий

События об угрозе

Имя расширения

Пример

Описание

cs1

W97M/Kojer.A

Имя найденной угрозы

cs1Label

Threat Name

 

cs2

25898 (20220909)

Версия модуля обнаружения

cs2Label

Engine Version

 

cs3

Virus

Тип обнаружения

cs3Label

Threat Type

 

cs4

Real-time

file system protection

Идентификатор модуля сканирования.

cs4Label

Scanner ID

 

cs5

virlog.dat

Идентификатор сканирования.

cs5Label

Scan ID

 

cs6

Failed to remove file

Сообщение об ошибке, если «действие» не было успешным.

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Краткое описание причины события.

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

SHA1-хеш потока данных (обнаружения).

cs8Label

Hash

 

act

Cleaned by deleting file

Действие выполнено конечной точкой.

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Объект URI

fileType

File

Тип объекта, связанный с событием.

cn1

1

Обнаружение обработано (1) или не обработано (0).

cn1Label

Handled

 

cn2

0

Перезапуск требуется (1) или не требуется (0).

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Имя учетной записи пользователя, связанной с событием.

sprod

C:\\7-Zip\\7z.exe

Имя процесса источника события.

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Время и дата, когда обнаружение было впервые выявлено на компьютере. Формат: %b %d %Y %H:%M:%S

arrow_down_business Пример журнала CEF для события об угрозе:

События файервола

Имя расширения

Пример

Описание

msg

TCP Port Scanning attack

Имя события.

src

127.0.0.1

IPv4-адрес источника события.

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6-адрес источника события.

c6a2Label

Source IPv6 Address

 

spt

36324

Порт источника события.

dst

127.0.0.2

IPv4-адрес цели события.

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

IPv6-адрес цели события.

c6a3Label

Destination IPv6 Address

 

dpt

24

Порт цели события.

proto

http

Протокол

act

Blocked

Действие выполнено

cn1

1

Обнаружение обработано (1) или не обработано (0).

cn1Label

Handled

 

suser

172-MG\\Administrator

Имя учетной записи пользователя, связанной с событием.

deviceProcessName

someApp.exe

Имя процесса, связанного с событием.

deviceDirection

1

Соединение было входящим (0) или исходящим (1).

cnt

3

Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между решением ESET PROTECT и агентом ESET Management.

cs1

 

Идентификатор правила

cs1Label

Rule ID

 

cs2

custom_rule_12

Имя правила

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Имя угрозы

cs3Label

Threat Name

 

arrow_down_business Пример журнала CEF для события файервола:

HIPS события

Имя расширения

Пример

Описание

cs1

Suspicious attempt to launch an application

Идентификатор правила

cs1Label

Rule ID

 

cs2

custom_rule_12

Имя правила

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Имя приложения

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Операция

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Объект

cs5Label

Target

 

act

Blocked

Действие выполнено

cs2

custom_rule_12

Имя правила

cn1

1

Обнаружение обработано (1) или не обработано (0).

cn1Label

Handled

 

cnt

3

Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между решением ESET PROTECT и агентом ESET Management.

arrow_down_business Пример журнала CEF для события системы HIPS:

События аудита

Имя расширения

Пример

Описание

act

Login attempt

Выполняемое действие

suser

Administrator

Пользователь программы для обеспечения безопасности

duser

Administrator

Целевой пользователь системы безопасности (например, при попытках авторизации)

msg

Authenticating native user 'Administrator'

Подробное описание действия

cs1

Native user

Домен журнала аудита

cs1Label

Audit Domain

 

cs2

Success

Результат действия

cs2Label

Result

 

arrow_down_business Пример журнала CEF для события аудита:

ESET Inspect события

Имя расширения

Пример

Описание

deviceProcessName

c:\\imagepath_bin.exe

Имя процесса, инициировавшего это предупреждение

suser

HP\\home

Владелец процесса

cs2

custom_rule_12

Имя правила, инициировавшего это предупреждение

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Хэш SHA1 предупреждения

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Ссылка на предупреждение в веб-консоли ESET Inspect

cs4Label

EI Console Link

 

cs5

126

Подчасть идентификатора ссылки на предупреждение ($1 в ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Оценка серьезности угроз на компьютере

cn1Label

ComputerSeverityScore

 

cn2

60

Оценка серьезности правила

cn2Label

SeverityScore

 

cnt

3

Количество предупреждений одного типа, созданных с момента последнего предупреждения

arrow_down_business Пример журнала CEF для события ESET Inspect:

События блокировки файлов

Имя расширения

Пример

Описание

act

Execution blocked

Действие выполнено

cn1

1

Обнаружение обработано (1) или не обработано (0).

cn1Label

Handled

 

suser

HP\\home

Имя учетной записи пользователя, связанной с событием.

deviceProcessName

C:\\Windows\\explorer.exe

Имя процесса, связанного с событием.

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Хеш SHA1 заблокированного файла

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Объект URI

msg

ESET Inspect

Описание заблокированного файла

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Время и дата, когда обнаружение было впервые выявлено на компьютере. Формат: %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Причина

cs2Label

Cause

 

arrow_down_business Пример журнала CEF для события блокировки файлов:

События фильтрации веб-сайтов

Имя расширения

Пример

Описание

msg

An attempt to connect to URL

Тип события

act

Blocked

Действие выполнено

cn1

1

Обнаружение обработано (1) или не обработано (0).

cn1Label

Handled

 

suser

Peter

Имя учетной записи пользователя, связанной с событием.

deviceProcessName

Firefox

Имя процесса, связанного с событием.

cs1

Blocked by PUA blacklist

Идентификатор правила

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL-адрес заблокированного запроса.

dst

172.17.9.224

IPv4-адрес цели события.

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

IPv6-адрес цели события.

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

Идентификатор модуля сканирования.

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Хеш SHA1 отфильтрованного объекта

cs3Label

Hash

 

arrow_down_business Пример журнала CEF для события фильтрации веб-сайта: