Події, що експортуються у формат CEF
Щоб відфільтрувати журнали подій, надіслані в Syslog, створіть сповіщення про категорію журналу з визначеним фільтром.
CEF – це формат текстового журналу, розроблений ArcSight™. Формат CEF містить заголовок CEF і розширення CEF. Розширення містить список пар значень ключів.
Заголовок CEF
Заголовок |
Приклад |
Опис |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT версія |
Device Event Class ID (Signature ID): |
109 |
Унікальний ідентифікатор категорії подій пристрою: •Подія загрози 100–199 •Подія брандмауера 200–299 •300–399 HIPS подія •400–499 подія аудиту •Подія 500–599 ESET Inspect •Подія заблокованих файлів 600–699 •Подія фільтрації веб-сайтів 700–799 |
Event Name |
Detected port scanning attack |
Короткий опис того, що сталося |
Severity |
5 |
Критичність 0–10 |
Розширення CEF, спільні для всіх категорій
Назва розширення |
Приклад |
Опис |
---|---|---|
cat |
ESET Threat Event |
Категорія події: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
IPv4-адреса комп’ютера, що створив подію. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
IPv6-адреса комп’ютера, що створив подію. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Ім’я хоста комп’ютера, на якому сталася ця подія |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
ідентифікатор UUID комп’ютера, що створив подію. |
rt |
Jun 04 2017 14:10:0 |
Час події у форматі UTC. Формат: %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
Повний шлях до статичної групи комп’ютера, що створив подію. Якщо довжина шляху перевищуватиме 255 символів, ESETProtectDeviceGroupName міститиме лише назву статичної групи. |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
Інформація про операційну систему комп’ютера. |
ESETProtectDeviceGroupDescription |
Lost & found static group |
Опис статичної групи. |
Розширення CEF за категорією подій
Події загрози
Назва розширення |
Приклад |
Опис |
---|---|---|
cs1 |
W97M/Kojer.A |
Знайдено назву загрози |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Версія ядра виявлення |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Тип виявлених об’єктів |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
Ідентифікатор сканера |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
Ідентифікатор сканування |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Повідомлення про помилку, якщо не вдалося виконати дію |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Короткий опис причини події |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
Хеш SHA1 потоку даних (виявленого об’єкта). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
Дія, яку виконала кінцева точка |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Об’єкт URI |
fileType |
File |
Тип об’єкта, пов’язаний із подією |
cn1 |
1 |
Виявлений об’єкт оброблено (1) або не оброблено (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Необхідно перезавантажити комп’ютер (1) або не потрібно (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Назва облікового запису користувача, пов’язаного з подією |
sprod |
C:\\7-Zip\\7z.exe |
Назва вихідного процесу події |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Час і дата першого виявлення на комп’ютері. Формат: %b %d %Y %H:%M:%S |
Приклад події загрози з журналу CEF:
Події брандмауера
Назва розширення |
Приклад |
Опис |
---|---|---|
msg |
TCP Port Scanning attack |
Назва події |
src |
127.0.0.1 |
Адреса джерела події IPv4 |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Адреса джерела події IPv6 |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Порт джерела події |
dst |
127.0.0.2 |
Адреса цілі події IPv4 |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Адреса цілі події IPv6 |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Порт призначення події |
proto |
http |
Протокол |
act |
Blocked |
Дію вжито |
cn1 |
1 |
Виявлений об’єкт оброблено (1) або не оброблено (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Назва облікового запису користувача, пов’язаного з подією |
deviceProcessName |
someApp.exe |
Назва процесу, пов’язаного з подією |
deviceDirection |
1 |
Підключення вхідне (0) або вихідне (1) |
cnt |
3 |
Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між ESET PROTECT і агентом ESET Management |
cs1 |
|
Ідентифікатор правила |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Ім’я правила |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Ім’я загрози |
cs3Label |
Threat Name |
|
Приклад події брандмауера з журналу CEF:
HIPS події
Назва розширення |
Приклад |
Опис |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
Ідентифікатор правила |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Ім’я правила |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Назва програми |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Операція |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Об'єкт |
cs5Label |
Target |
|
act |
Blocked |
Дію вжито |
cs2 |
custom_rule_12 |
Ім’я правила |
cn1 |
1 |
Виявлений об’єкт оброблено (1) або не оброблено (0) |
cn1Label |
Handled |
|
cnt |
3 |
Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між ESET PROTECT і агентом ESET Management |
Приклад події Системи запобігання вторгненням (HIPS) з журналу CEF:
Події аудиту
Назва розширення |
Приклад |
Опис |
---|---|---|
act |
Login attempt |
Виконувана дія |
suser |
Administrator |
Користувач системи безпеки |
duser |
Administrator |
Цільовий користувач системи безпеки (наприклад, для спроб входу) |
msg |
Authenticating native user 'Administrator' |
Детальний опис дії |
cs1 |
Native user |
Домен журналу аудиту |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Результат дії |
cs2Label |
Result |
|
Приклад події аудиту з журналу CEF:
Події ESET Inspect
Назва розширення |
Приклад |
Опис |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Назва процесу, який спричинив оповіщення |
suser |
HP\\home |
Власник процесу |
cs2 |
custom_rule_12 |
Назва правила, яке спричиняє це оповіщення |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Хеш тривоги SHA1 |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Посилання на сповіщення у веб-консолі ESET Inspect |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Ідентифікатор, указаний у посиланні оповіщення ($1 в ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Оцінка рівня критичності для комп’ютера |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Оцінка рівня критичності правила |
cn2Label |
SeverityScore |
|
cnt |
3 |
Кількість попереджень такого типу, згенерованих із моменту останнього оповіщення |
Приклад події ESET Inspect з журналу CEF:
Події заблокованих файлів
Назва розширення |
Приклад |
Опис |
---|---|---|
act |
Execution blocked |
Дію вжито |
cn1 |
1 |
Виявлений об’єкт оброблено (1) або не оброблено (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Назва облікового запису користувача, пов’язаного з подією |
deviceProcessName |
C:\\Windows\\explorer.exe |
Назва процесу, пов’язаного з подією |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Хеш SHA1 заблокованого файлу |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Об’єкт URI |
msg |
ESET Inspect |
Опис заблокованого файлу |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Час і дата першого виявлення на комп’ютері. Формат: %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Причина |
cs2Label |
Cause |
|
Приклад події заблокованих файлів із журналу CEF:
Події фільтрації веб-сайтів
Назва розширення |
Приклад |
Опис |
---|---|---|
msg |
An attempt to connect to URL |
Тип події |
act |
Blocked |
Дію вжито |
cn1 |
1 |
Виявлений об’єкт оброблено (1) або не оброблено (0) |
cn1Label |
Handled |
|
suser |
Peter |
Назва облікового запису користувача, пов’язаного з подією |
deviceProcessName |
Firefox |
Назва процесу, пов’язаного з подією |
cs1 |
Blocked by PUA blacklist |
Ідентифікатор правила |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL заблокованого запиту |
dst |
172.17.9.224 |
Адреса цілі події IPv4 |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Адреса цілі події IPv6 |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
Ідентифікатор сканера |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Хеш SHA1 відфільтрованого об’єкта |
cs3Label |
Hash |
|