ESET 線上說明

搜尋 繁體字
選取類別
選取主題

匯出為 CEF 格式的事件

若要過濾傳送至系統日誌的事件防護記錄,請使用已定義的過濾器來建立防護記錄類別通知

CEF 是由 ArcSight™ 所開發,基於文字的防護記錄格式。CEF 格式包括 CEF 檔頭和 CEF 副檔名。副檔名包含鍵值配對的清單。

CEF 檔頭

檔頭

範例

說明

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

ESET PROTECT 版本

Device Event Class ID (Signature ID):

109

裝置事件類別唯一識別碼:

100-199 威脅事件

200-299 防火牆事件

300–399 HIPS 事件

400–499 審查事件

500–599 ESET Inspect 事件

600-699 封鎖的檔案事件

700-799 已過濾的網站事件

Event Name

Detected port scanning attack

該事件所發生情況簡短說明

Severity

5

嚴重性 0–10

CEF 副檔名共通於所有類別

副檔名

範例

說明

cat

ESET Threat Event

事件類別:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

產生事件的電腦 IPv4 位址。

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

產生事件的電腦 IPv6 位址。

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

包含事件的電腦的主機名稱

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

產生事件之電腦的 UUID。

rt

Jun 04 2017 14:10:0

事件發生的 UTC 時間。格式為 %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

產生事件之電腦的靜態群組的完整路徑。如果路徑超過 255 個字元,則 ESETProtectDeviceGroupName 僅包含靜態群組名稱。

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

有關電腦作業系統的資訊。

ESETProtectDeviceGroupDescription

Lost & found static group

靜態群組說明。

CEF 副檔名 (按事件類別分類)

威脅事件

副檔名

範例

說明

cs1

W97M/Kojer.A

發現威脅名稱

cs1Label

Threat Name

 

cs2

25898 (20220909)

偵測引擎版本

cs2Label

Engine Version

 

cs3

Virus

偵測類型

cs3Label

Threat Type

 

cs4

Real-time

file system protection

掃描器 ID

cs4Label

Scanner ID

 

cs5

virlog.dat

掃描 ID

cs5Label

Scan ID

 

cs6

Failed to remove file

「動作」不成功時產生的錯誤訊息

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

事件發生原因的簡短說明

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

(偵測) 資料流的 SHA1 雜湊。

cs8Label

Hash

 

act

Cleaned by deleting file

由端點執行的處理方法

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

物件 URI

fileType

File

與事件相關的物件類型

cn1

1

偵測已處理 (1) 或未處理 (0)

cn1Label

Handled

 

cn2

0

需要 (1) 或者不需要 (0) 重新啟動

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

與事件相關的使用者帳戶

sprod

C:\\7-Zip\\7z.exe

事件來源處理程序的名稱

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

此電腦上首次發現偵測的時間和日期。格式為 %b %d %Y %H:%M:%S

arrow_down_business 威脅事件 CEF 防護記錄範例:

防火牆事件

副檔名

範例

說明

msg

TCP Port Scanning attack

事件名稱

src

127.0.0.1

事件來源 IPv4 位址

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

事件來源 IPv6 位址

c6a2Label

Source IPv6 Address

 

spt

36324

事件來源的連接埠

dst

127.0.0.2

事件目的地 IPv4 位址

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

事件目的地 IPv6 位址

c6a3Label

Destination IPv6 Address

 

dpt

24

事件目的地連接埠

proto

http

通訊協定

act

Blocked

已採取行動

cn1

1

偵測已處理 (1) 或未處理 (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

與事件相關的使用者帳戶

deviceProcessName

someApp.exe

與事件相關的程序名稱

deviceDirection

1

連接是外來 (0) 或對外 (1)

cnt

3

由 ESET PROTECT 和 ESET Management 代理程式之間的兩個連續副本之間端點產生的相同訊息數量

cs1

 

規則 ID

cs1Label

Rule ID

 

cs2

custom_rule_12

規則名稱

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

威脅名稱

cs3Label

Threat Name

 

arrow_down_business 防火牆事件 CEF 防護記錄範例:

事件 HIPS

副檔名

範例

說明

cs1

Suspicious attempt to launch an application

規則 ID

cs1Label

Rule ID

 

cs2

custom_rule_12

規則名稱

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

應用程式名稱

cs3Label

Application

 

cs4

Attempt to run a suspicious object

作業

cs4Label

Operation

 

cs5

C:\\somevirus.exe

目標

cs5Label

Target

 

act

Blocked

已採取行動

cs2

custom_rule_12

規則名稱

cn1

1

偵測已處理 (1) 或未處理 (0)

cn1Label

Handled

 

cnt

3

由 ESET PROTECT 和 ESET Management 代理程式之間的兩個連續副本之間端點產生的相同訊息數量

arrow_down_business HIPS 事件 CEF 防護記錄範例:

審查事件

副檔名

範例

說明

act

Login attempt

採取處理方法

suser

Administrator

有關的安全性使用者

duser

Administrator

目標安全使用者 (例如,用於登入嘗試)

msg

Authenticating native user 'Administrator'

處理方法的詳細說明

cs1

Native user

審查記錄檔網域

cs1Label

Audit Domain

 

cs2

Success

處理方法結果

cs2Label

Result

 

arrow_down_business 審查事件 CEF 防護記錄範例:

事件 ESET Inspect

副檔名

範例

說明

deviceProcessName

c:\\imagepath_bin.exe

造成此警示的程序名稱

suser

HP\\home

處理程序擁有者

cs2

custom_rule_12

觸發此警示的規則名稱

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

警報 SHA1 雜湊

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

在 Web 主控台中連結到 ESET Inspect 警報

cs4Label

EI Console Link

 

cs5

126

警示連結的 ID 子部分 (^http.*/alarm/([0-9]+)$ 中的 $1)

cs5Label

EI Alarm ID

 

cn1

275

電腦嚴重性評分

cn1Label

ComputerSeverityScore

 

cn2

60

規則嚴重性評分

cn2Label

SeverityScore

 

cnt

3

自上一次警報以來產生的相同類型警示的數量

arrow_down_business ESET Inspect 事件 CEF 防護記錄範例:

封鎖的檔案事件

副檔名

範例

說明

act

Execution blocked

已採取行動

cn1

1

偵測已處理 (1) 或未處理 (0)

cn1Label

Handled

 

suser

HP\\home

與事件相關的使用者帳戶

deviceProcessName

C:\\Windows\\explorer.exe

與事件相關的程序名稱

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

封鎖的檔案 SHA1 雜湊

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

物件 URI

msg

ESET Inspect

封鎖的檔案說明

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

此電腦上首次發現偵測的時間和日期。格式為 %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

原因

cs2Label

Cause

 

arrow_down_business 已封鎖的檔案事件 CEF 防護記錄範例:

已過濾的網站事件

副檔名

範例

說明

msg

An attempt to connect to URL

事件類型

act

Blocked

已採取行動

cn1

1

偵測已處理 (1) 或未處理 (0)

cn1Label

Handled

 

suser

Peter

與事件相關的使用者帳戶

deviceProcessName

Firefox

與事件相關的程序名稱

cs1

Blocked by PUA blacklist

規則 ID

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

封鎖要求的 URL

dst

172.17.9.224

事件目的地 IPv4 位址

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

事件目的地 IPv6 位址

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

掃描器 ID

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

已過濾物件的 SHA1 雜湊

cs3Label

Hash

 

arrow_down_business 過濾的網站事件 CEF 防護記錄範例: