ESET Online Yardım

Arama Türkçe
Kategori seçin
Konu seçin

CEF biçimine aktarılan olaylar

Syslog'a gönderilen olay günlüklerini filtrelemek için tanımlanan bir filtreyle bir günlük kategorisi bildirimi oluşturun.

CEF, ArcSight™ tarafından geliştirilen metin tabanlı bir günlük biçimidir. CEF biçimi bir CEF üstbilgisi ile bir CEF uzantısından oluşur. Uzantı, anahtar-değer çiftlerinin bir listesini içerir.

CEF üstbilgisi

Üstbilgi

Örnek

Açıklama

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

ESET PROTECT sürüm

Device Event Class ID (Signature ID):

109

Cihaz Olay Kategorisi benzersiz tanıtıcı:

100–199 Tehdit olayı

200–299 Güvenlik duvarı olayı

300Olay

400–499 denetleme Olayı

500–599 ESET Inspect olay

600–699 Engellenen dosyalar olayı

700–799 Filtrelenmiş web siteleri olayı

Event Name

Detected port scanning attack

Olayda neler olduğuyla ilgili kısa bir açıklama

Severity

5

Önem Derecesi 0–10

Tüm kategoriler için ortak olan CEF uzantıları

Uzantı adı

Örnek

Açıklama

cat

ESET Threat Event

Olay kategorisi:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

Olayı oluşturan bilgisayarın IPv4 adresi.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Olayı oluşturan bilgisayarın IPv6 adresi.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Olaya sahip bilgisayarın ana bilgisayar adı

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

olayı oluşturan bilgisayarın UUID'si.

rt

Jun 04 2017 14:10:0

Olayın gerçekleştiği UTC saati. Biçim %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

Olayı oluşturan bilgisayarın statik grubuna ait yolun tamamı. Yol 255 karakterden uzunsa ESETProtectDeviceGroupName yalnızca statik grup adını içerir.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

Bilgisayarın işletim sistemiyle ilgili bilgiler.

ESETProtectDeviceGroupDescription

Lost & found static group

Statik grup açıklaması.

Olay kategorisine göre CEF uzantıları

Tehdit olayları

Uzantı adı

Örnek

Açıklama

cs1

W97M/Kojer.A

Bulunan tehdit adı

cs1Label

Threat Name

 

cs2

25898 (20220909)

Algılama altyapısı sürümü

cs2Label

Engine Version

 

cs3

Virus

Tespit türü

cs3Label

Threat Type

 

cs4

Real-time

file system protection

Tarayıcı kimliği

cs4Label

Scanner ID

 

cs5

virlog.dat

Tarama Kimliği

cs5Label

Scan ID

 

cs6

Failed to remove file

"İşlem" başarısız olursa hata iletisi

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Olaya neyin neden olduğuna dair kısa açıklama

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

(Algılama) veri akışının SHA1 karması.

cs8Label

Hash

 

act

Cleaned by deleting file

Eylem uç nokta tarafından gerçekleştirildi

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Nesne URI

fileType

File

Olayla ilgili nesne türü

cn1

1

Tespit işlendi (1) veya işlenmedi (0)

cn1Label

Handled

 

cn2

0

Yeniden başlatma gerekli (1) veya gerekli değil (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Olayla ilişkilendirilen kullanıcı hesabının adı

sprod

C:\\7-Zip\\7z.exe

Olay kaynağı işleminin adı

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Tespitin makinede ilk bulunduğu saat ve tarih. Biçim %b %d %Y %H:%M:%S

arrow_down_business Tehdit olayı CEF günlüğü örneği:

Güvenlik duvarı olayları

Uzantı adı

Örnek

Açıklama

msg

TCP Port Scanning attack

Olay adı

src

127.0.0.1

Olay kaynağı IPv4 adresi

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Olay kaynağı IPv6 adresi

c6a2Label

Source IPv6 Address

 

spt

36324

Olay kaynağının bağlantı noktası

dst

127.0.0.2

Olay hedefi IPv4 adresi

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Olay hedefi IPv6 adresi

c6a3Label

Destination IPv6 Address

 

dpt

24

Olay hedefi bağlantı noktası

proto

http

Protokol

act

Blocked

Gerçekleştirilen eylem

cn1

1

Tespit işlendi (1) veya işlenmedi (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Olayla ilişkilendirilen kullanıcı hesabının adı

deviceProcessName

someApp.exe

Olayla ilişkilendirilen işlemin adı

deviceDirection

1

Bağlantı gelen bağlantıydı (0) veya giden bağlantıydı (1)

cnt

3

ESET PROTECT ve ESET Management Agent arasında arka arkaya iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı mesajların sayısı

cs1

 

Kural Kimliği

cs1Label

Rule ID

 

cs2

custom_rule_12

Kural adı

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Tehdit adı

cs3Label

Threat Name

 

arrow_down_business Güvenlik duvarı olayı CEF günlüğü örneği:

HIPS olaylar

Uzantı adı

Örnek

Açıklama

cs1

Suspicious attempt to launch an application

Kural Kimliği

cs1Label

Rule ID

 

cs2

custom_rule_12

Kural adı

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Uygulama adı

cs3Label

Application

 

cs4

Attempt to run a suspicious object

İşlem

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Hedef

cs5Label

Target

 

act

Blocked

Gerçekleştirilen eylem

cs2

custom_rule_12

Kural adı

cn1

1

Tespit işlendi (1) veya işlenmedi (0)

cn1Label

Handled

 

cnt

3

ESET PROTECT ve ESET Management Agent arasında arka arkaya iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı mesajların sayısı

arrow_down_business Host Tabanlı Saldırı Önleme Sistemi (HIPS) olayı CEF günlüğü örneği:

Denetleme olayları

Uzantı adı

Örnek

Açıklama

act

Login attempt

Eylem gerçekleştiriliyor

suser

Administrator

Güvenlik kullanıcısı dahil

duser

Administrator

Hedeflenen güvenlik kullanıcısı (örneğin, giriş denemeleri için)

msg

Authenticating native user 'Administrator'

Eylemin ayrıntılı açıklaması

cs1

Native user

Denetleme günlüğü etki alanı

cs1Label

Audit Domain

 

cs2

Success

Eylem sonucu

cs2Label

Result

 

arrow_down_business Denetim olayı CEF günlüğü örneği:

ESET Inspect olaylar

Uzantı adı

Örnek

Açıklama

deviceProcessName

c:\\imagepath_bin.exe

Bu alarma neden olan işlemin adı

suser

HP\\home

İşlem sahibi

cs2

custom_rule_12

Bu alarmı tetikleyen kuralın adı

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Alarm SHA1 hash'i

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

ESET Inspect Web Konsolu'daki alarma bağlantı

cs4Label

EI Console Link

 

cs5

126

Alarm bağlantısının kimlik alt bölümü (^http.*/alarm/([0-9]+)$ içindeki $1)

cs5Label

EI Alarm ID

 

cn1

275

Bilgisayar önem derecesi puanı

cn1Label

ComputerSeverityScore

 

cn2

60

Kural önem derecesi puanı

cn2Label

SeverityScore

 

cnt

3

Son alarmdan bu yana oluşturulan aynı tür uyarıların sayısı

arrow_down_business ESET Inspect olayı CEF günlüğü örneği:

Engellenen dosya olayları

Uzantı adı

Örnek

Açıklama

act

Execution blocked

Gerçekleştirilen eylem

cn1

1

Tespit işlendi (1) veya işlenmedi (0)

cn1Label

Handled

 

suser

HP\\home

Olayla ilişkilendirilen kullanıcı hesabının adı

deviceProcessName

C:\\Windows\\explorer.exe

Olayla ilişkilendirilen işlemin adı

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Engellenen dosyanın SHA1 hash'i

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Nesne URI

msg

ESET Inspect

Engellenen dosya açıklaması

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Tespitin makinede ilk bulunduğu saat ve tarih. Biçim %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Neden

cs2Label

Cause

 

arrow_down_business Engellenen dosyalar olayı CEF günlüğü örneği:

Filtrelenmiş web sitesi olayları

Uzantı adı

Örnek

Açıklama

msg

An attempt to connect to URL

Olay türü

act

Blocked

Gerçekleştirilen eylem

cn1

1

Tespit işlendi (1) veya işlenmedi (0)

cn1Label

Handled

 

suser

Peter

Olayla ilişkilendirilen kullanıcı hesabının adı

deviceProcessName

Firefox

Olayla ilişkilendirilen işlemin adı

cs1

Blocked by PUA blacklist

Kural Kimliği

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

engellenen isteğin URL'si

dst

172.17.9.224

Olay hedefi IPv4 adresi

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Olay hedefi IPv6 adresi

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

Tarayıcı kimliği

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Filtre uygulanmış nesnenin SHA1 hash'i

cs3Label

Hash

 

arrow_down_business Filtrelenmiş web sitesi olayı CEF günlüğü örneği: