Ηλεκτρονική βοήθεια ESET

Αναζήτηση Ελληνικά
Επιλέξτε την κατηγορία
Επιλέξτε το θέμα

Εξαγωγή συμβάντων σε μορφή CEF

Για να φιλτράρετε τα αρχεία καταγραφής συμβάντων που αποστέλλονται στο Syslog, δημιουργήστε μια ειδοποίηση κατηγορίας καταγραφής με ένα καθορισμένο φίλτρο.

Το CEF είναι μια μορφή αρχείου καταγραφής που βασίζεται σε κείμενο και αναπτύχθηκε από το ArcSight™. Η μορφή CEF περιλαμβάνει μια κεφαλίδα CEF και μια επέκταση CEF. Η επέκταση περιέχει μια λίστα ζευγών κλειδιού-τιμής.

Κεφαλίδα CEF

Κεφαλίδα

Παράδειγμα

Περιγραφή

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

έκδοση ESET PROTECT On-Prem

Device Event Class ID (Signature ID):

109

Μοναδικό αναγνωριστικό κατηγορίας συμβάντων συσκευής:

Συμβάν απειλής 100-199

Συμβάν τείχους προστασίας 200-299

300–399 HIPS ςυμβάν

400–499 Έλεγχος συμβάντος

500–599 ESET Inspect ςυμβάν

Συμβάν αποκλεισμένων αρχείων 600-699

Συμβάν φιλτραρισμένων ιστότοπων 700-799

Event Name

Detected port scanning attack

Σύντομη περιγραφή του συμβάντος

Severity

5

Κρισιμότητα

2 – Πληροφορίες

3 – Ειδοποίηση

5 – Προειδοποίηση

7 – Σφάλμα

8 – Κρίσιμες

10 – Ανεπανόρθωτο σφάλμα

Επεκτάσεις CEF που είναι κοινές για όλες τις κατηγορίες

Όνομα επέκτασης

Παράδειγμα

Περιγραφή

cat

ESET Threat Event

Κατηγορία συμβάντων:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

Η διεύθυνση IPv4 του υπολογιστή στον οποίο δημιουργείται το συμβάν.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Η διεύθυνση IPv6 του υπολογιστή στον οποίο δημιουργείται το συμβάν.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Όνομα κεντρικού υπολογιστή με το συμβάν

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

το αναγνωριστικό UUID του υπολογιστή στον οποίο δημιουργείται το συμβάν.

rt

Jun 04 2017 14:10:0

Η ώρα UTC που παρουσιάστηκε το συμβάν. Η μορφή είναι %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

Η πλήρης διαδρομή στην στατική ομάδα του υπολογιστή στον οποίο δημιουργήθηκε το συμβάν. Εάν η διαδρομή είναι μεγαλύτερη από 255 χαρακτήρες, το ESETProtectDeviceGroupName περιέχει μόνο το όνομα της στατικής ομάδας.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

Πληροφορίες σχετικά με το λειτουργικό σύστημα του υπολογιστή.

ESETProtectDeviceGroupDescription

Lost & found static group

Περιγραφή στατικής ομάδας.

Επεκτάσεις CEF ανά κατηγορία συμβάντος

Συμβάντα απειλής

Όνομα επέκτασης

Παράδειγμα

Περιγραφή

cs1

W97M/Kojer.A

Όνομα απειλής που εντοπίστηκε

cs1Label

Threat Name

 

cs2

25898 (20220909)

Έκδοση μηχανισμού ανίχνευσης

cs2Label

Engine Version

 

cs3

Virus

Τύπος ανίχνευσης

cs3Label

Threat Type

 

cs4

Real-time

file system protection

Αναγνωριστικό συσκευής σάρωσης

cs4Label

Scanner ID

 

cs5

virlog.dat

Αναγνωριστικό σάρωσης

cs5Label

Scan ID

 

cs6

Failed to remove file

Μήνυμα σφάλματος εάν η «ενέργεια» δεν ήταν επιτυχής

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Σύντομη περιγραφή της αιτίας του συμβάντος

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

Κατακερματισμός SHA1 της ροής δεδομένων (της ανίχνευσης).

cs8Label

Hash

 

act

Cleaned by deleting file

Ενέργεια που εκτελέστηκε από το τερματικό

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Αντικείμενο URI

fileType

File

Τύπος αντικειμένου που σχετίζεται με το συμβάν

cn1

1

Η ανίχνευση αντιμετωπίστηκε (1) ή δεν αντιμετωπίστηκε (0)

cn1Label

Handled

 

cn2

0

Η επανεκκίνηση απαιτείται (1) ή δεν απαιτείται (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

sprod

C:\\7-Zip\\7z.exe

Το όνομα της διεργασίας προέλευσης συμβάντων

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Η ώρα και η ημερομηνία κατά την οποία εντοπίστηκε η ανίχνευση για πρώτη φορά στον υπολογιστή. Η μορφή είναι %b %d %Y %H:%M:%S

arrow_down_business Παράδειγμα αρχείου καταγραφής CEF συμβάντος απειλής:

Συμβάντα τείχους προστασίας

Όνομα επέκτασης

Παράδειγμα

Περιγραφή

msg

TCP Port Scanning attack

Το όνομα του συμβάντος

src

127.0.0.1

Διεύθυνση IPv4 προέλευσης συμβάντος

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Διεύθυνση IPv6 προέλευσης συμβάντος

c6a2Label

Source IPv6 Address

 

spt

36324

Η θύρα της προέλευσης του συμβάντος

dst

127.0.0.2

Διεύθυνση IPv4 προορισμού συμβάντος

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Διεύθυνση IPv6 προορισμού συμβάντος

c6a3Label

Destination IPv6 Address

 

dpt

24

Θύρα προορισμού συμβάντος

proto

http

Πρωτόκολλο

act

Blocked

Η ενέργεια πραγματοποιήθηκε

cn1

1

Η ανίχνευση αντιμετωπίστηκε (1) ή δεν αντιμετωπίστηκε (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

deviceProcessName

someApp.exe

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

deviceDirection

1

Η σύνδεση ήταν εισερχόμενη (0) ή εξερχόμενη (1)

cnt

3

Ο αριθμός των ίδιων μηνυμάτων που δημιουργούνται από το τερματικό μεταξύ δύο διαδοχικών αναπαραγωγών μεταξύ του ESET PROTECT On-Prem και του φορέα ESET Management

cs1

 

Αναγνωριστικό κανόνα

cs1Label

Rule ID

 

cs2

custom_rule_12

Όνομα κανόνα

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Όνομα απειλής

cs3Label

Threat Name

 

arrow_down_business Παράδειγμα αρχείου καταγραφής CEF συμβάντος Τείχους προστασίας:

HIPS συμβάντα

Όνομα επέκτασης

Παράδειγμα

Περιγραφή

cs1

Suspicious attempt to launch an application

Αναγνωριστικό κανόνα

cs1Label

Rule ID

 

cs2

custom_rule_12

Όνομα κανόνα

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Όνομα εφαρμογής

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Λειτουργία

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Προορισμός

cs5Label

Target

 

act

Blocked

Η ενέργεια πραγματοποιήθηκε

cs2

custom_rule_12

Όνομα κανόνα

cn1

1

Η ανίχνευση αντιμετωπίστηκε (1) ή δεν αντιμετωπίστηκε (0)

cn1Label

Handled

 

cnt

3

Ο αριθμός των ίδιων μηνυμάτων που δημιουργούνται από το τερματικό μεταξύ δύο διαδοχικών αναπαραγωγών μεταξύ του ESET PROTECT On-Prem και του φορέα ESET Management

arrow_down_business Παράδειγμα αρχείου καταγραφής CEF συμβάντος HIPS:

Έλεγχος συμβάντα

Όνομα επέκτασης

Παράδειγμα

Περιγραφή

act

Login attempt

Ενέργεια που πραγματοποιείται

suser

Administrator

Εμπλεκόμενος χρήστης ασφάλειας

duser

Administrator

Στοχευμένος χρήστης ασφάλειας (π.χ., για προσπάθειες σύνδεσης)

msg

Authenticating native user 'Administrator'

Μια λεπτομερής περιγραφή της ενέργειας

cs1

Native user

Τομέας αρχείου καταγραφής ελέγχου

cs1Label

Audit Domain

 

cs2

Success

Αποτέλεσμα ενέργειας

cs2Label

Result

 

arrow_down_business Παράδειγμα αρχείου καταγραφής CEF συμβάντος ελέγχου:

ESET Inspect συμβάντα

Όνομα επέκτασης

Παράδειγμα

Περιγραφή

deviceProcessName

c:\\imagepath_bin.exe

Όνομα της διεργασίας που προκαλεί αυτόν το συναγερμό

suser

HP\\home

Κάτοχος διεργασίας

cs2

custom_rule_12

Όνομα του κανόνα που ενεργοποιεί αυτόν το συναγερμό

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Κατακερματισμός συναγερμού SHA1

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Σύνδεσμος με τον συναγερμό στην Κονσόλα διαδικτύου ESET Inspect On-Prem

cs4Label

EI Console Link

 

cs5

126

Υποτμήμα ταυτότητας της σύνδεσης συναγερμού ($1 στο ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Βαθμολογία κρισιμότητας υπολογιστή

cn1Label

ComputerSeverityScore

 

cn2

60

Βαθμολογία κρισιμότητας κανόνα

cn2Label

SeverityScore

 

cnt

3

Ο αριθμός συναγερμών του ίδιου τύπου που δημιουργήθηκαν μετά τον τελευταίο συναγερμό

arrow_down_business Παράδειγμα αρχείου καταγραφής CEF συμβάντος ESET Inspect:

Συμβάντα αποκλεισμένων αρχείων

Όνομα επέκτασης

Παράδειγμα

Περιγραφή

act

Execution blocked

Η ενέργεια πραγματοποιήθηκε

cn1

1

Η ανίχνευση αντιμετωπίστηκε (1) ή δεν αντιμετωπίστηκε (0)

cn1Label

Handled

 

suser

HP\\home

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

deviceProcessName

C:\\Windows\\explorer.exe

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Κατακερματισμός SHA1 του αποκλεισμένου αρχείου

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Αντικείμενο URI

msg

ESET Inspect

Περιγραφή αποκλεισμένου αρχείου

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Η ώρα και η ημερομηνία κατά την οποία εντοπίστηκε η ανίχνευση για πρώτη φορά στον υπολογιστή. Η μορφή είναι %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Αιτία

cs2Label

Cause

 

arrow_down_business Παράδειγμα αρχείου καταγραφής CEF συμβάντος αποκλεισμένων αρχείων:

Συμβάντα φιλτραρισμένων ιστότοπων

Όνομα επέκτασης

Παράδειγμα

Περιγραφή

msg

An attempt to connect to URL

Τύπος συμβάντος

act

Blocked

Η ενέργεια πραγματοποιήθηκε

cn1

1

Η ανίχνευση αντιμετωπίστηκε (1) ή δεν αντιμετωπίστηκε (0)

cn1Label

Handled

 

suser

Peter

Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν

deviceProcessName

Firefox

Το όνομα της διεργασίας που σχετίζεται με το συμβάν

cs1

Blocked by PUA blacklist

Αναγνωριστικό κανόνα

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL του αποκλεισμένου αιτήματος

dst

172.17.9.224

Διεύθυνση IPv4 προορισμού συμβάντος

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Διεύθυνση IPv6 προορισμού συμβάντος

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

Αναγνωριστικό συσκευής σάρωσης

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Κατακερματισμός SHA1 του φιλτραρισμένου αντικειμένου

cs3Label

Hash

 

arrow_down_business Παράδειγμα αρχείου καταγραφής CEF συμβάντος φιλτραρισμένου ιστότοπου: