Export von Ereignissen im CEF-Format
Um die an Syslog gesendeten Ereignis-Logs zu filtern, wählen Sie Eine Benachrichtigung für die Log-Kategorie erstellen mit einem definierten Filter.
CEF ist ein textbasiertes Log-Format, das von ArcSight™ entwickelt wurde. Das CEF-Format enthält eine CEF-Kopfzeile und eine CEF-Erweiterung. Die Erweiterung enthält eine Liste der Schlüssel-Wert-Paare.
CEF-Kopfzeile
Kopfzeile |
Beispiel |
Beschreibung |
|---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT On-Prem version |
Device Event Class ID (Signature ID): |
109 |
Eindeutiger Bezeichner der Geräteereigniskategorie: •100–199 Bedrohungs-Ereignis •200–299 Firewall-Ereignis •300–399 HIPS Ereignis •400–499 Überwachungs-Ereignis •500–599 ESET Inspect ereignis •600–699 Ereignis mit blockierten Dateien •700–799 Ereignis mit gefilterten Websites |
Event Name |
Detected port scanning attack |
Eine kurze Beschreibung der Ereignisse |
Severity |
5 |
Schweregrad: •2 – Informationen •3 – Hinweis •5 – Warnung •7 – Fehler •8 – Kritisch •10 – Schwerwiegend |
Für alle Kategorien gebräuchliche CEF-Erweiterungen
Erweiterungsname |
Beispiel |
Beschreibung |
|---|---|---|
cat |
ESET Threat Event |
Ereigniskategorie: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
IPv4-Adresse des Computers, der das Ereignis generiert hat. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
IPv6-Adresse des Computers, der das Ereignis generiert hat. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Hostname des Computers mit dem Ereignis |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
UUID des Computers, der das Ereignis generiert hat. |
rt |
Jun 04 2017 14:10:0 |
UTC-Zeitpunkt, zu dem das Ereignis aufgetreten ist. Das Format ist %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
Der vollständige Pfad zur statischen Gruppe des Computers, der das Ereignis generiert hat. Wenn der Pfad länger als 255 Zeichen ist, enthält ESETProtectDeviceGroupName nur den Namen der statischen Gruppe. |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
Informationen zum Betriebssystem des Computers. |
ESETProtectDeviceGroupDescription |
Lost & found static group |
Beschreibung der statischen Gruppe. |
CEF-Erweiterungen nach Ereigniskategorie
Bedrohungs-Ereignisse
Erweiterungsname |
Beispiel |
Beschreibung |
|---|---|---|
cs1 |
W97M/Kojer.A |
Name der gefundenen Bedrohung |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Version der Erkennungsroutine |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Ereignistyp |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
Scanner-ID |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
Scan-ID |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Fehlermeldung, wenn die Aktion nicht erfolgreich war |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Kurze Beschreibung der Ursache des Ereignisses |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
SHA1-Hash des Datenstroms (Ereignis). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
Der Endpoint hat eine Maßnahme ergriffen |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Objekt URI |
fileType |
File |
Objekttyp im Zusammenhang mit dem Ereignis |
cn1 |
1 |
Ereignis wurde verarbeitet (1) oder nicht verarbeitet (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Neustart erforderlich (1) oder nicht erforderlich (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
sprod |
C:\\7-Zip\\7z.exe |
Der Name des Prozesses für die Ereignisquelle |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Uhrzeit und Datum der ersten Ermittlung des Ereignisses auf dem Computer. Das Format ist %b %d %Y %H:%M:%S |
Beispiel für das -CEF-Log für Bedrohungs-Ereignis:
Firewall-Ereignisse
Erweiterungsname |
Beispiel |
Beschreibung |
|---|---|---|
msg |
TCP Port Scanning attack |
Ereignisname |
src |
127.0.0.1 |
IPv4-Adresse der Ereignisquelle |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
IPv6-Adresse der Ereignisquelle |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Port der Ereignisquelle |
dst |
127.0.0.2 |
IPv4-Adresse des Ereignisziels |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
IPv6-Adresse des Ereignisziels |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Port für Ereignisziel |
proto |
http |
Protokoll |
act |
Blocked |
Ausgeführte Aktion |
cn1 |
1 |
Ereignis wurde verarbeitet (1) oder nicht verarbeitet (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
deviceProcessName |
someApp.exe |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
deviceDirection |
1 |
Die Verbindung war ein- (0) oder ausgehend (1) |
cnt |
3 |
Die Anzahl der vom Endpoint generierten gleichen Nachrichten zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT On-Prem und dem ESET Management Agent |
cs1 |
|
Regel-ID |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Regelname |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Bedrohungsname |
cs3Label |
Threat Name |
|
Beispiel für das CEF-Log für Firewall-Ereignis:
HIPS ereignisse
Erweiterungsname |
Beispiel |
Beschreibung |
|---|---|---|
cs1 |
Suspicious attempt to launch an application |
Regel-ID |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Regelname |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Anwendungsname |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Vorgang |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Ziel |
cs5Label |
Target |
|
act |
Blocked |
Ausgeführte Aktion |
cs2 |
custom_rule_12 |
Regelname |
cn1 |
1 |
Ereignis wurde verarbeitet (1) oder nicht verarbeitet (0) |
cn1Label |
Handled |
|
cnt |
3 |
Die Anzahl der vom Endpoint generierten gleichen Nachrichten zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT On-Prem und dem ESET Management Agenten |
Beispiel für das CEF-Log für HIPS-Ereignis:
Überwachungs-Ereignisse
Erweiterungsname |
Beispiel |
Beschreibung |
|---|---|---|
act |
Login attempt |
Ausgeführte Aktion |
suser |
Administrator |
Beteiligter Sicherheitsbenutzer |
duser |
Administrator |
Zielbenutzer (z. B. für Anmeldeversuche) |
msg |
Authenticating native user 'Administrator' |
Ausführliche Beschreibung der Aktion |
cs1 |
Native user |
Audit-Log-Domäne |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Aktionsergebnis |
cs2Label |
Result |
|
Beispiel für das CEF-Log für Ereignisse:
ESET Inspect ereignisse
Erweiterungsname |
Beispiel |
Beschreibung |
|---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Name des Prozesses, der den Alarm ausgelöst hat |
suser |
HP\\home |
Prozesseigentümer |
cs2 |
custom_rule_12 |
Name der Regel, die den Alarm ausgelöst hat |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
SHA1-Hash für Alarm |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Link zum Alarm in der ESET Inspect On-Prem-Web-Konsole |
cs4Label |
EI Console Link |
|
cs5 |
126 |
ID-Komponente des Alarmlinks ($1 in ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Computer-Schweregradsbewertung |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Regel-Schweregradsbewertung |
cn2Label |
SeverityScore |
|
cnt |
3 |
Anzahl der Warnungen vom gleichen Typ seit dem letzten Alarm |
Beispiel für das ESET Inspect-CEF-Log für Ereignisse:
Ereignisse mit blockierten Dateien
Erweiterungsname |
Beispiel |
Beschreibung |
|---|---|---|
act |
Execution blocked |
Ausgeführte Aktion |
cn1 |
1 |
Ereignis wurde verarbeitet (1) oder nicht verarbeitet (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
deviceProcessName |
C:\\Windows\\explorer.exe |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
SHA1-Hash der blockierten Datei |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Objekt URI |
msg |
ESET Inspect |
Beschreibung der blockierten Datei |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Uhrzeit und Datum der ersten Ermittlung des Ereignisses auf dem Computer. Das Format ist %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Ursache |
cs2Label |
Cause |
|
Beispiel für das CEF-Log für blockierte Dateien:
Ereignisse mit gefilterten Websites
Erweiterungsname |
Beispiel |
Beschreibung |
|---|---|---|
msg |
An attempt to connect to URL |
Ereignistyp |
act |
Blocked |
Ausgeführte Aktion |
cn1 |
1 |
Ereignis wurde verarbeitet (1) oder nicht verarbeitet (0) |
cn1Label |
Handled |
|
suser |
Peter |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
deviceProcessName |
Firefox |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
cs1 |
Blocked by PUA blacklist |
Regel-ID |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL der blockierten Anfrage |
dst |
172.17.9.224 |
IPv4-Adresse des Ereignisziels |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
IPv6-Adresse des Ereignisziels |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
Scanner-ID |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
SHA1-Hash des gefilterten Objekts |
cs3Label |
Hash |
|