导出为 CEF 格式的事件
要过滤发送到系统日志的事件日志,请使用定义的过滤器创建日志类别通知。
CEF 是一个基于文本的日志格式,由 ArcSight™ 开发。CEF 格式包括 CEF 标头和 CEF 扩展。扩展包含一个键值对列表。
CEF 标头
标题 |
示例 |
说明 |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT On-Prem 版本 |
Device Event Class ID (Signature ID): |
109 |
设备事件类别唯一标识符: •100-199 威胁事件 •200-299 防火墙事件 •300–399 HIPS 事件 •400–499 审核事件 •500–599 ESET Inspect 事件 •600-699 阻止的文件事件 •700-799 过滤的网站事件 |
Event Name |
Detected port scanning attack |
事件所发生情况的简要说明 |
Severity |
5 |
严重性: •2 – 信息 •3 – 通知 •5 – 警告 •7 – 错误 •8 – 严重 •10 – 致命 |
所有类别通用的 CEF 扩展
扩展名 |
示例 |
说明 |
---|---|---|
cat |
ESET Threat Event |
事件类别: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
生成事件的计算机 IPv4 地址。 |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
生成事件的计算机 IPv6 地址。 |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
发生事件的计算机的主机名 |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
生成事件的计算机 UUID。 |
rt |
Jun 04 2017 14:10:0 |
事件发生的 UTC 时间。该格式为 %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
生成事件的计算机的静态组的完整路径。如果路径的长度超过 255 个字符,则 ESETProtectDeviceGroupName 仅会包含静态组名称。 |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
有关计算机操作系统的信息。 |
ESETProtectDeviceGroupDescription |
Lost & found static group |
静态组说明。 |
CEF 扩展(按事件类别)
威胁事件
扩展名 |
示例 |
说明 |
---|---|---|
cs1 |
W97M/Kojer.A |
发现威胁名称 |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
检测引擎版本 |
cs2Label |
Engine Version |
|
cs3 |
Virus |
检测类型 |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
扫描程序 ID |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
扫描 ID |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
“操作”失败时的错误消息 |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
造成该事件的简短说明 |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
(检测)数据流的 SHA1 哈希。 |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
端点执行的操作 |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
对象 URI |
fileType |
File |
与事件相关的对象类型 |
cn1 |
1 |
检测已处理 (1) 或未处理 (0) |
cn1Label |
Handled |
|
cn2 |
0 |
重新启动需要 (1) 或不需要 (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
与事件关联的用户帐户的名称 |
sprod |
C:\\7-Zip\\7z.exe |
事件源进程的名称 |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
此计算机上首次发现检测的时间和日期。该格式为 %b %d %Y %H:%M:%S |
防火墙事件
扩展名 |
示例 |
说明 |
---|---|---|
msg |
TCP Port Scanning attack |
事件名称 |
src |
127.0.0.1 |
事件源 IPv4 地址 |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
事件源 IPv6 地址 |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
事件来源端口 |
dst |
127.0.0.2 |
事件目标 IPv4 地址 |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
事件目标 IPv6 地址 |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
事件目标端口 |
proto |
http |
协议 |
act |
Blocked |
已采取操作 |
cn1 |
1 |
检测已处理 (1) 或未处理 (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
与事件关联的用户帐户的名称 |
deviceProcessName |
someApp.exe |
与事件关联的进程的名称 |
deviceDirection |
1 |
连接已入站 (0) 或已出站 (1) |
cnt |
3 |
端点在 ESET PROTECT On-Prem 和 ESET Management 服务器代理之间的两次连续复制之间生成的同一消息的数量 |
cs1 |
|
规则 ID |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
规则名称 |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
威胁名称 |
cs3Label |
Threat Name |
|
HIPS 事件
扩展名 |
示例 |
说明 |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
规则 ID |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
规则名称 |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
应用程序名称 |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
操作 |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
目标 |
cs5Label |
Target |
|
act |
Blocked |
已采取操作 |
cs2 |
custom_rule_12 |
规则名称 |
cn1 |
1 |
检测已处理 (1) 或未处理 (0) |
cn1Label |
Handled |
|
cnt |
3 |
端点在 ESET PROTECT On-Prem 和 ESET Management 服务器代理之间的两次连续复制之间生成的同一消息的数量 |
审核事件
扩展名 |
示例 |
说明 |
---|---|---|
act |
Login attempt |
正在发生的操作 |
suser |
Administrator |
涉及的安全用户 |
duser |
Administrator |
目标安全用户(例如,用于登录尝试) |
msg |
Authenticating native user 'Administrator' |
操作的详细说明 |
cs1 |
Native user |
审核日志域 |
cs1Label |
Audit Domain |
|
cs2 |
Success |
操作结果 |
cs2Label |
Result |
|
ESET Inspect 事件
扩展名 |
示例 |
说明 |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
导致此警报的进程的名称 |
suser |
HP\\home |
进程所有者 |
cs2 |
custom_rule_12 |
触发此警报的规则的名称 |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
警报 SHA1 哈希 |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
指向 ESET Inspect On-Prem Web 控制台中的警报的链接 |
cs4Label |
EI Console Link |
|
cs5 |
126 |
警报链接的 ID 子部分(^http.*/alarm/([0-9]+)$ 中的 $1) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
计算机严重级别评分 |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
规则严重级别评分 |
cn2Label |
SeverityScore |
|
cnt |
3 |
自上次警报以来生成的类型相同的警报数量 |
阻止的文件事件
扩展名 |
示例 |
说明 |
---|---|---|
act |
Execution blocked |
已采取操作 |
cn1 |
1 |
检测已处理 (1) 或未处理 (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
与事件关联的用户帐户的名称 |
deviceProcessName |
C:\\Windows\\explorer.exe |
与事件关联的进程的名称 |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
阻止的文件的 SHA1 哈希 |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
对象 URI |
msg |
ESET Inspect |
阻止的文件说明 |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
此计算机上首次发现检测的时间和日期。该格式为 %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
原因 |
cs2Label |
Cause |
|
过滤的网站事件
扩展名 |
示例 |
说明 |
---|---|---|
msg |
An attempt to connect to URL |
事件类型 |
act |
Blocked |
已采取操作 |
cn1 |
1 |
检测已处理 (1) 或未处理 (0) |
cn1Label |
Handled |
|
suser |
Peter |
与事件关联的用户帐户的名称 |
deviceProcessName |
Firefox |
与事件关联的进程的名称 |
cs1 |
Blocked by PUA blacklist |
规则 ID |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
被阻止请求的 URL |
dst |
172.17.9.224 |
事件目标 IPv4 地址 |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
事件目标 IPv6 地址 |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
扫描程序 ID |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
过滤的对象的 SHA1 哈希 |
cs3Label |
Hash |
|