Події, що експортуються у формат CEF

Щоб відфільтрувати журнали подій, надіслані в Syslog, створіть сповіщення про категорію журналу з визначеним фільтром.

CEF – це формат текстового журналу, розроблений ArcSight™. Формат CEF містить заголовок CEF і розширення CEF. Розширення містить список пар значень ключів.

Заголовок CEF

Заголовок	Приклад	Опис
Device Vendor	ESET
Device Product	Protect
Device Version	10.0.5.1	ESET PROTECT On-Prem версія
Device Event Class ID (Signature ID):	109	Унікальний ідентифікатор категорії подій пристрою: •Подія загрози 100–199 •Подія брандмауера 200–299 •300–399 HIPS подія •400–499 подія аудиту •Подія 500–599 ESET Inspect •Подія заблокованих файлів 600–699 •Подія фільтрації веб-сайтів 700–799
Event Name	Detected port scanning attack	Короткий опис того, що сталося
Severity	5	Рівень критичності •2 — Інформація •3 — Зауваження •5 — Попередження •7 — Помилка •8 — Критичні помилки •10 — Невиправні помилки

Розширення CEF, спільні для всіх категорій

Назва розширення	Приклад	Опис
cat	ESET Threat Event	Категорія події: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	IPv4-адреса комп’ютера, що створив подію.
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	IPv6-адреса комп’ютера, що створив подію.
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	Ім’я хоста комп’ютера, на якому сталася ця подія
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	ідентифікатор UUID комп’ютера, що створив подію.
rt	Jun 04 2017 14:10:0	Час події у форматі UTC. Формат: %b %d %Y %H:%M:%S
ESETProtectDeviceGroupName	All/Lost & found	Повний шлях до статичної групи комп’ютера, що створив подію. Якщо довжина шляху перевищуватиме 255 символів, ESETProtectDeviceGroupName міститиме лише назву статичної групи.
ESETProtectDeviceOsName	Microsoft Windows 11 Pro	Інформація про операційну систему комп’ютера.
ESETProtectDeviceGroupDescription	Lost & found static group	Опис статичної групи.

Розширення CEF за категорією подій

Події загрози

Назва розширення	Приклад	Опис
cs1	W97M/Kojer.A	Знайдено назву загрози
cs1Label	Threat Name
cs2	25898 (20220909)	Версія ядра виявлення
cs2Label	Engine Version
cs3	Virus	Тип виявлених об’єктів
cs3Label	Threat Type
cs4	Real-time file system protection	Ідентифікатор сканера
cs4Label	Scanner ID
cs5	virlog.dat	Ідентифікатор сканування
cs5Label	Scan ID
cs6	Failed to remove file	Повідомлення про помилку, якщо не вдалося виконати дію
cs6Label	Action Error
cs7	Event occurred on a newly created file	Короткий опис причини події
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	Хеш SHA1 потоку даних (виявленого об’єкта).
cs8Label	Hash
act	Cleaned by deleting file	Дія, яку виконала кінцева точка
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	Об’єкт URI
fileType	File	Тип об’єкта, пов’язаний із подією
cn1	1	Виявлений об’єкт оброблено (1) або не оброблено (0)
cn1Label	Handled
cn2	0	Необхідно перезавантажити комп’ютер (1) або не потрібно (0)
cn2Label	Restart Needed
suser	172-MG\\Administrator	Назва облікового запису користувача, пов’язаного з подією
sprod	C:\\7-Zip\\7z.exe	Назва вихідного процесу події
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Час і дата першого виявлення на комп’ютері. Формат: %b %d %Y %H:%M:%S

Приклад події загрози з журналу CEF:

Події брандмауера

Назва розширення	Приклад	Опис
msg	TCP Port Scanning attack	Назва події
src	127.0.0.1	Адреса джерела події IPv4
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Адреса джерела події IPv6
c6a2Label	Source IPv6 Address
spt	36324	Порт джерела події
dst	127.0.0.2	Адреса цілі події IPv4
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Адреса цілі події IPv6
c6a3Label	Destination IPv6 Address
dpt	24	Порт призначення події
proto	http	Протокол
act	Blocked	Дію вжито
cn1	1	Виявлений об’єкт оброблено (1) або не оброблено (0)
cn1Label	Handled
suser	172-MG\\Administrator	Назва облікового запису користувача, пов’язаного з подією
deviceProcessName	someApp.exe	Назва процесу, пов’язаного з подією
deviceDirection	1	Підключення вхідне (0) або вихідне (1)
cnt	3	Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між ESET PROTECT On-Prem і агентом ESET Management
cs1		Ідентифікатор правила
cs1Label	Rule ID
cs2	custom_rule_12	Ім’я правила
cs2Label	Rule Name
cs3	Win32/Botnet.generic	Ім’я загрози
cs3Label	Threat Name

Приклад події брандмауера з журналу CEF:

HIPS події

Назва розширення	Приклад	Опис
cs1	Suspicious attempt to launch an application	Ідентифікатор правила
cs1Label	Rule ID
cs2	custom_rule_12	Ім’я правила
cs2Label	Rule Name
cs3	C:\\someapp.exe	Назва програми
cs3Label	Application
cs4	Attempt to run a suspicious object	Операція
cs4Label	Operation
cs5	C:\\somevirus.exe	Об'єкт
cs5Label	Target
act	Blocked	Дію вжито
cs2	custom_rule_12	Ім’я правила
cn1	1	Виявлений об’єкт оброблено (1) або не оброблено (0)
cn1Label	Handled
cnt	3	Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між ESET PROTECT On-Prem і агентом ESET Management

Приклад події Системи запобігання вторгненням (HIPS) з журналу CEF:

Події аудиту

Назва розширення	Приклад	Опис
act	Login attempt	Виконувана дія
suser	Administrator	Користувач системи безпеки
duser	Administrator	Цільовий користувач системи безпеки (наприклад, для спроб входу)
msg	Authenticating native user 'Administrator'	Детальний опис дії
cs1	Native user	Домен журналу аудиту
cs1Label	Audit Domain
cs2	Success	Результат дії
cs2Label	Result

Приклад події аудиту з журналу CEF:

Події ESET Inspect

Назва розширення	Приклад	Опис
deviceProcessName	c:\\imagepath_bin.exe	Назва процесу, який спричинив оповіщення
suser	HP\\home	Власник процесу
cs2	custom_rule_12	Назва правила, яке спричиняє це оповіщення
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Хеш тривоги SHA1
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	Посилання на сповіщення у веб-консолі ESET Inspect On-Prem
cs4Label	EI Console Link
cs5	126	Ідентифікатор, указаний у посиланні оповіщення ($1 в ^http.*/alarm/([0-9]+)$)
cs5Label	EI Alarm ID
cn1	275	Оцінка рівня критичності для комп’ютера
cn1Label	ComputerSeverityScore
cn2	60	Оцінка рівня критичності правила
cn2Label	SeverityScore
cnt	3	Кількість попереджень такого типу, згенерованих із моменту останнього оповіщення

Приклад події ESET Inspect з журналу CEF:

Події заблокованих файлів

Назва розширення	Приклад	Опис
act	Execution blocked	Дію вжито
cn1	1	Виявлений об’єкт оброблено (1) або не оброблено (0)
cn1Label	Handled
suser	HP\\home	Назва облікового запису користувача, пов’язаного з подією
deviceProcessName	C:\\Windows\\explorer.exe	Назва процесу, пов’язаного з подією
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Хеш SHA1 заблокованого файлу
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	Об’єкт URI
msg	ESET Inspect	Опис заблокованого файлу
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Час і дата першого виявлення на комп’ютері. Формат: %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	Причина
cs2Label	Cause

Приклад події заблокованих файлів із журналу CEF:

Події фільтрації веб-сайтів

Назва розширення	Приклад	Опис
msg	An attempt to connect to URL	Тип події
act	Blocked	Дію вжито
cn1	1	Виявлений об’єкт оброблено (1) або не оброблено (0)
cn1Label	Handled
suser	Peter	Назва облікового запису користувача, пов’язаного з подією
deviceProcessName	Firefox	Назва процесу, пов’язаного з подією
cs1	Blocked by PUA blacklist	Ідентифікатор правила
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	URL заблокованого запиту
dst	172.17.9.224	Адреса цілі події IPv4
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Адреса цілі події IPv6
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	Ідентифікатор сканера
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	Хеш SHA1 відфільтрованого об’єкта
cs3Label	Hash

Приклад події фільтрації сайтів із журналу CEF:

˄˅