Događaji izvezeni u format CEF
Da biste filtrirali dnevnike događaja poslane u Syslog, stvorite obavijest o kategoriji dnevnika s definiranim filtrom.
CEF je tekstni oblik dnevnika koji je razvio ArcSight™. Format CEF uključuje CEF zaglavlje i CEF proširenje. Proširenje sadrži popis parova ključeva i vrijednosti.
CEF zaglavlje
Zaglavlje |
Primjer |
Opis |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT On-Prem verziju |
Device Event Class ID (Signature ID): |
109 |
Jedinstveni identifikator kategorije događaja uređaja: •100–199 prijetnja •200–299 događaj firewalla •300–399 HIPS događaj •400–499 provjera događaja •500–599 Događaj ESET Inspect •600–699 događaj blokiranih datoteka •700–799 događaj filtriranih web stranica |
Event Name |
Detected port scanning attack |
Kratak opis tijeka događaja |
Severity |
5 |
Ozbiljnost: •2 –Informacije •3 – Napomena •5 – Upozorenje •7 – Pogreška •8 – Kritično •10 – Kritično |
CEF proširenja zajednička svim kategorijama
Naziv proširenja |
Primjer |
Opis |
---|---|---|
cat |
ESET Threat Event |
Kategorija događaja: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
IPv4 adresa računala koje generira događaj. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
IPv6 adresa računala koje generira događaj. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Naziv hosta računala s događajem |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
UUID računala koje generira događaj. |
rt |
Jun 04 2017 14:10:0 |
UTC vrijeme zbivanja događaja. Format je %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
Cijeli put statičke grupe računala koje generira događaj. Ako je put dulji od 255 znakova, ESETProtectDeviceGroupName sadrži samo naziv statičke grupe. |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
Informacije o operacijskom sustavu računala. |
ESETProtectDeviceGroupDescription |
Lost & found static group |
Opis statičke grupe. |
CEF proširenja po kategoriji događaja
Prijetnje
Naziv proširenja |
Primjer |
Opis |
---|---|---|
cs1 |
W97M/Kojer.A |
Naziv pronađene prijetnje |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Verzija sustava za otkrivanje |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Vrsta prijetnje |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
ID skenera |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
ID skeniranja |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Poruka o pogrešci ako "radnja" nije uspješna |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Kratak opis uzroka događaja |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
SHA1 hash protoka podataka (o prijetnjama). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
Radnju je poduzelo računalo |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Objekt URI |
fileType |
File |
Vrsta objekta povezana s događajem |
cn1 |
1 |
Prijetnja je riješena (1) ili nije riješena (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Restart je potreban (1) ili nije potreban (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Naziv korisničkog računa povezanog s događajem |
sprod |
C:\\7-Zip\\7z.exe |
Naziv procesa izvora događaja |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Vrijeme i datum kad je prijetnja prvi put otkrivena na računalu. Format je %b %d %Y %H:%M:%S |
Primjer CEF zapisnika događaja prijetnje:
Događaji firewalla
Naziv proširenja |
Primjer |
Opis |
---|---|---|
msg |
TCP Port Scanning attack |
Naziv događaja |
src |
127.0.0.1 |
IPv4 adresa izvora događaja |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
IPv6 adresa izvora događaja |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Port izvora događaja |
dst |
127.0.0.2 |
IPv4 adresa odredišta događaja |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
IPv6 adresa odredišta događaja |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Port odredišta događaja |
proto |
http |
Protokol |
act |
Blocked |
Poduzeta radnja |
cn1 |
1 |
Prijetnja je riješena (1) ili nije riješena (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Naziv korisničkog računa povezanog s događajem |
deviceProcessName |
someApp.exe |
Naziv procesa povezanog s događajem |
deviceDirection |
1 |
Veza je bila dolazna (0) ili odlazna (1) |
cnt |
3 |
Broj istih poruka koje je generiralo računalo između dviju uzastopnih replikacija između programa ESET PROTECT On-Prem i ESET Management agenta |
cs1 |
|
ID pravila |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Naziv pravila |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Naziv prijetnje |
cs3Label |
Threat Name |
|
Primjer CEF zapisnika događaja vatrozida:
HIPS događaji
Naziv proširenja |
Primjer |
Opis |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
ID pravila |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Naziv pravila |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Naziv aplikacije |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Operacija |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Objekt |
cs5Label |
Target |
|
act |
Blocked |
Poduzeta radnja |
cs2 |
custom_rule_12 |
Naziv pravila |
cn1 |
1 |
Prijetnja je riješena (1) ili nije riješena (0) |
cn1Label |
Handled |
|
cnt |
3 |
Broj istih poruka koje je generiralo računalo između dviju uzastopnih replikacija između programa ESET PROTECT On-Prem i ESET Management agenta |
Primjer CEF zapisnika HIPS događaja:
Događaji provjere
Naziv proširenja |
Primjer |
Opis |
---|---|---|
act |
Login attempt |
Radnja koja se odvija |
suser |
Administrator |
Korisnik zaštite koji je uključen |
duser |
Administrator |
Ciljani korisnik zaštite (na primjer, za pokušaje prijave) |
msg |
Authenticating native user 'Administrator' |
Detaljni opis radnje |
cs1 |
Native user |
Domena dnevnika provjere |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Rezultat radnje |
cs2Label |
Result |
|
Primjer CEF zapisnika događaja provjere:
ESET Inspect događaji
Naziv proširenja |
Primjer |
Opis |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Naziv procesa koji uzrokuje upozorenje |
suser |
HP\\home |
Vlasnik procesa |
cs2 |
custom_rule_12 |
Naziv pravila koje aktivira ovo upozorenje |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
SHA1 hash upozorenja |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Veza na upozorenje na ESET Inspect On-Prem web konzoli |
cs4Label |
EI Console Link |
|
cs5 |
126 |
ID poddio linka upozorenja ($1 u ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Rezultat ozbiljnosti računala |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Rezultat ozbiljnosti pravila |
cn2Label |
SeverityScore |
|
cnt |
3 |
Broj upozorenja iste vrste generiranih od posljednjeg upozorenja |
Primjer CEF zapisnika događaja ESET Inspect:
Događaji blokiranih datoteka
Naziv proširenja |
Primjer |
Opis |
---|---|---|
act |
Execution blocked |
Poduzeta radnja |
cn1 |
1 |
Prijetnja je riješena (1) ili nije riješena (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Naziv korisničkog računa povezanog s događajem |
deviceProcessName |
C:\\Windows\\explorer.exe |
Naziv procesa povezanog s događajem |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
SHA1 hash blokirane datoteke |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Objekt URI |
msg |
ESET Inspect |
Opis blokirane datoteke |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Vrijeme i datum kad je prijetnja prvi put otkrivena na računalu. Format je %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Uzrok |
cs2Label |
Cause |
|
Primjer CEF zapisnika događaja blokiranih datoteka:
Događaji filtriranih web stranica
Naziv proširenja |
Primjer |
Opis |
---|---|---|
msg |
An attempt to connect to URL |
Vrsta događaja |
act |
Blocked |
Poduzeta radnja |
cn1 |
1 |
Prijetnja je riješena (1) ili nije riješena (0) |
cn1Label |
Handled |
|
suser |
Peter |
Naziv korisničkog računa povezanog s događajem |
deviceProcessName |
Firefox |
Naziv procesa povezanog s događajem |
cs1 |
Blocked by PUA blacklist |
ID pravila |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL blokiranog zahtjeva |
dst |
172.17.9.224 |
IPv4 adresa odredišta događaja |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
IPv6 adresa odredišta događaja |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
ID skenera |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
SHA1 hash filtriranog objekta |
cs3Label |
Hash |
|