Інтерактивна довідка ESET

Виберіть категорію
Виберіть тему

Події, що експортуються у формат CEF

Щоб відфільтрувати журнали подій, надіслані в Syslog, створіть сповіщення про категорію журналу з визначеним фільтром.

CEF – це формат текстового журналу, розроблений ArcSight™. Формат CEF містить заголовок CEF і розширення CEF. Розширення містить список пар значень ключів.

Заголовок CEF

Заголовок

Приклад

Опис

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

ESET PROTECT версія

Device Event Class ID (Signature ID):

109

Унікальний ідентифікатор категорії подій пристрою:

Подія загрози 100–199

Подія брандмауера 200–299

300–399 HIPS подія

400–499 подія аудиту

Подія 500–599 ESET Inspect

Подія заблокованих файлів 600–699

Подія фільтрації веб-сайтів 700–799

Event Name

Detected port scanning attack

Короткий опис того, що сталося

Severity

5

Критичність 0–10

Розширення CEF, спільні для всіх категорій

Назва розширення

Приклад

Опис

cat

ESET Threat Event

Категорія події:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

IPv4-адреса комп’ютера, що створив подію.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6-адреса комп’ютера, що створив подію.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Ім’я хоста комп’ютера, на якому сталася ця подія

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

ідентифікатор UUID комп’ютера, що створив подію.

rt

Jun 04 2017 14:10:0

Час події у форматі UTC. Формат: %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

Повний шлях до статичної групи комп’ютера, що створив подію. Якщо довжина шляху перевищуватиме 255 символів, ESETProtectDeviceGroupName міститиме лише назву статичної групи.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

Інформація про операційну систему комп’ютера.

ESETProtectDeviceGroupDescription

Lost & found static group

Опис статичної групи.

Розширення CEF за категорією подій

Події загрози

Назва розширення

Приклад

Опис

cs1

W97M/Kojer.A

Знайдено назву загрози

cs1Label

Threat Name

 

cs2

25898 (20220909)

Версія ядра виявлення

cs2Label

Engine Version

 

cs3

Virus

Тип виявлених об’єктів

cs3Label

Threat Type

 

cs4

Real-time

file system protection

Ідентифікатор сканера

cs4Label

Scanner ID

 

cs5

virlog.dat

Ідентифікатор сканування

cs5Label

Scan ID

 

cs6

Failed to remove file

Повідомлення про помилку, якщо не вдалося виконати дію

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Короткий опис причини події

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

Хеш SHA1 потоку даних (виявленого об’єкта).

cs8Label

Hash

 

act

Cleaned by deleting file

Дія, яку виконала кінцева точка

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Об’єкт URI

fileType

File

Тип об’єкта, пов’язаний із подією

cn1

1

Виявлений об’єкт оброблено (1) або не оброблено (0)

cn1Label

Handled

 

cn2

0

Необхідно перезавантажити комп’ютер (1) або не потрібно (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Назва облікового запису користувача, пов’язаного з подією

sprod

C:\\7-Zip\\7z.exe

Назва вихідного процесу події

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Час і дата першого виявлення на комп’ютері. Формат: %b %d %Y %H:%M:%S

arrow_down_business Приклад події загрози з журналу CEF:

Події брандмауера

Назва розширення

Приклад

Опис

msg

TCP Port Scanning attack

Назва події

src

127.0.0.1

Адреса джерела події IPv4

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Адреса джерела події IPv6

c6a2Label

Source IPv6 Address

 

spt

36324

Порт джерела події

dst

127.0.0.2

Адреса цілі події IPv4

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Адреса цілі події IPv6

c6a3Label

Destination IPv6 Address

 

dpt

24

Порт призначення події

proto

http

Протокол

act

Blocked

Дію вжито

cn1

1

Виявлений об’єкт оброблено (1) або не оброблено (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Назва облікового запису користувача, пов’язаного з подією

deviceProcessName

someApp.exe

Назва процесу, пов’язаного з подією

deviceDirection

1

Підключення вхідне (0) або вихідне (1)

cnt

3

Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між ESET PROTECT і агентом ESET Management

cs1

 

Ідентифікатор правила

cs1Label

Rule ID

 

cs2

custom_rule_12

Ім’я правила

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Ім’я загрози

cs3Label

Threat Name

 

arrow_down_business Приклад події брандмауера з журналу CEF:

HIPS події

Назва розширення

Приклад

Опис

cs1

Suspicious attempt to launch an application

Ідентифікатор правила

cs1Label

Rule ID

 

cs2

custom_rule_12

Ім’я правила

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Назва програми

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Операція

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Об'єкт

cs5Label

Target

 

act

Blocked

Дію вжито

cs2

custom_rule_12

Ім’я правила

cn1

1

Виявлений об’єкт оброблено (1) або не оброблено (0)

cn1Label

Handled

 

cnt

3

Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між ESET PROTECT і агентом ESET Management

arrow_down_business Приклад події Системи запобігання вторгненням (HIPS) з журналу CEF:

Події аудиту

Назва розширення

Приклад

Опис

act

Login attempt

Виконувана дія

suser

Administrator

Користувач системи безпеки

duser

Administrator

Цільовий користувач системи безпеки (наприклад, для спроб входу)

msg

Authenticating native user 'Administrator'

Детальний опис дії

cs1

Native user

Домен журналу аудиту

cs1Label

Audit Domain

 

cs2

Success

Результат дії

cs2Label

Result

 

arrow_down_business Приклад події аудиту з журналу CEF:

Події ESET Inspect

Назва розширення

Приклад

Опис

deviceProcessName

c:\\imagepath_bin.exe

Назва процесу, який спричинив оповіщення

suser

HP\\home

Власник процесу

cs2

custom_rule_12

Назва правила, яке спричиняє це оповіщення

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Хеш тривоги SHA1

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Посилання на сповіщення у веб-консолі ESET Inspect

cs4Label

EI Console Link

 

cs5

126

Ідентифікатор, указаний у посиланні оповіщення ($1 в ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Оцінка рівня критичності для комп’ютера

cn1Label

ComputerSeverityScore

 

cn2

60

Оцінка рівня критичності правила

cn2Label

SeverityScore

 

cnt

3

Кількість попереджень такого типу, згенерованих із моменту останнього оповіщення

arrow_down_business Приклад події ESET Inspect з журналу CEF:

Події заблокованих файлів

Назва розширення

Приклад

Опис

act

Execution blocked

Дію вжито

cn1

1

Виявлений об’єкт оброблено (1) або не оброблено (0)

cn1Label

Handled

 

suser

HP\\home

Назва облікового запису користувача, пов’язаного з подією

deviceProcessName

C:\\Windows\\explorer.exe

Назва процесу, пов’язаного з подією

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Хеш SHA1 заблокованого файлу

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Об’єкт URI

msg

ESET Inspect

Опис заблокованого файлу

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Час і дата першого виявлення на комп’ютері. Формат: %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Причина

cs2Label

Cause

 

arrow_down_business Приклад події заблокованих файлів із журналу CEF:

Події фільтрації веб-сайтів

Назва розширення

Приклад

Опис

msg

An attempt to connect to URL

Тип події

act

Blocked

Дію вжито

cn1

1

Виявлений об’єкт оброблено (1) або не оброблено (0)

cn1Label

Handled

 

suser

Peter

Назва облікового запису користувача, пов’язаного з подією

deviceProcessName

Firefox

Назва процесу, пов’язаного з подією

cs1

Blocked by PUA blacklist

Ідентифікатор правила

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL заблокованого запиту

dst

172.17.9.224

Адреса цілі події IPv4

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Адреса цілі події IPv6

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

Ідентифікатор сканера

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Хеш SHA1 відфільтрованого об’єкта

cs3Label

Hash

 

arrow_down_business Приклад події фільтрації сайтів із журналу CEF: