CEF形式にエクスポートされたイベント
Syslogに送信されたイベントログをフィルタリングするには、定義されたフィルターでログカテゴリ通知を作成します。
CEFはArcSight™によって開発されたテキストベースのログ形式です。CEF形式には、CEFヘッダーとCEF拡張子が含まれます。拡張子には、キーと値のペアのリストが含まれます。
CEFヘッダー
ヘッダ |
例 |
説明 |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT On-Premバージョン |
Device Event Class ID (Signature ID): |
109 |
デバイスイベントカテゴリ一意のID: •100 - 199脅威イベント •200 - 299ファイアウォールイベント •300–399 HIPSイベント •400–499 監査イベント •500–599 ESET Inspectイベント •600 - 699ブロックされたファイルイベント •700 - 799フィルタリングされたWebサイトイベント |
Event Name |
Detected port scanning attack |
イベントで発生した内容の簡単な説明 |
Severity |
5 |
重大度 •2 – 情報 •3 – 通知 •5 – 警告 •7 – エラー •8 – 重大 •10 – 致命的 |
すべてのカテゴリで共通のCEF拡張子
拡張子名 |
例 |
説明 |
---|---|---|
cat |
ESET Threat Event |
イベントカテゴリ: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
イベントを生成するコンピューターのIPv4アドレス。 |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
イベントを生成するコンピューターのIPv6アドレス。 |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
イベントのあるコンピューターのホスト名 |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
イベントを生成するコンピューターのUUID。 |
rt |
Jun 04 2017 14:10:0 |
イベントの発生時刻(UTC)。形式が%b %d %Y %H:%M:%Sです |
ESETProtectDeviceGroupName |
All/Lost & found |
イベントを生成するコンピューターの静的グループへの完全パス。パスが255文字を超える場合は、ESETProtectDeviceGroupNameには静的グループ名だけが含されます。 |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
コンピューターのオペレーティングシステムに関する情報。 |
ESETProtectDeviceGroupDescription |
Lost & found static group |
静的グループ説明。 |
イベントカテゴリ別CEF拡張子
脅威イベント
拡張子名 |
例 |
説明 |
---|---|---|
cs1 |
W97M/Kojer.A |
検出された脅威名 |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
検出エンジンバージョン |
cs2Label |
Engine Version |
|
cs3 |
Virus |
検出タイプ |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
スキャナーID |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
検査ID |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
アクションが失敗した場合のエラーメッセージ |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
イベントの原因の簡単な説明 |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
(検出)データストリームのSHA1ハッシュ。 |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
エンドポイントによってアクションが実行されました |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
オブジェクトURI |
fileType |
File |
イベントに関連するオブジェクトタイプ |
cn1 |
1 |
検出が処理された(1)、または処理されていない(0) |
cn1Label |
Handled |
|
cn2 |
0 |
再起動が必要(1)、または必要ではない(0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
イベントに関連付けられたユーザーアカウントの名前 |
sprod |
C:\\7-Zip\\7z.exe |
イベントソースプロセスの名前 |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
コンピューターで初めて検出が見つかった日時。形式が%b %d %Y %H:%M:%Sです |
ファイアウォールイベント
拡張子名 |
例 |
説明 |
---|---|---|
msg |
TCP Port Scanning attack |
イベント名 |
src |
127.0.0.1 |
イベントソースIPv4アドレス |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
イベントソースIPv6アドレス |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
イベントソースのポート |
dst |
127.0.0.2 |
イベント宛先IPv4アドレス |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
イベント宛先IPv6アドレス |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
イベント宛先ポート |
proto |
http |
プロトコル |
act |
Blocked |
実行されたアクション |
cn1 |
1 |
検出が処理された(1)、または処理されていない(0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
イベントに関連付けられたユーザーアカウントの名前 |
deviceProcessName |
someApp.exe |
イベントに関連付けられたプロセスの名前 |
deviceDirection |
1 |
接続が受信(0)または送信(1) |
cnt |
3 |
ESET PROTECT On-PremとESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成された同じメッセージの数 |
cs1 |
|
ルールID |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
ルール名 |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
脅威名 |
cs3Label |
Threat Name |
|
HIPS イベント
拡張子名 |
例 |
説明 |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
ルールID |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
ルール名 |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
アプリケーション名 |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
処理 |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
対象 |
cs5Label |
Target |
|
act |
Blocked |
実行されたアクション |
cs2 |
custom_rule_12 |
ルール名 |
cn1 |
1 |
検出が処理された(1)、または処理されていない(0) |
cn1Label |
Handled |
|
cnt |
3 |
ESET PROTECT On-PremとESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成された同じメッセージの数 |
監査イベント
拡張子名 |
例 |
説明 |
---|---|---|
act |
Login attempt |
実行中のアクション |
suser |
Administrator |
関係するセキュリティユーザー |
duser |
Administrator |
対象のセキュリティユーザー(ログイン試行など) |
msg |
Authenticating native user 'Administrator' |
アクションの詳細説明 |
cs1 |
Native user |
監査ログドメイン |
cs1Label |
Audit Domain |
|
cs2 |
Success |
アクション結果 |
cs2Label |
Result |
|
ESET Inspect イベント
拡張子名 |
例 |
説明 |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
このアラームを発生させるプロセスの名前 |
suser |
HP\\home |
プロセス所有者 |
cs2 |
custom_rule_12 |
このアラームをトリガーするルールの名前 |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
アラームSHA1ハッシュ |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
ESET Inspect On-Prem Webコンソールのアラームへのリンク |
cs4Label |
EI Console Link |
|
cs5 |
126 |
アラームリンクのID部分(^http.*/alarm/([0-9]+)$の$1) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
コンピューター重要度スコア |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
ルール重要度スコア |
cn2Label |
SeverityScore |
|
cnt |
3 |
前回のアラーム以降に生成された同じタイプのアラートの数 |
ブロックされたファイルイベント
拡張子名 |
例 |
説明 |
---|---|---|
act |
Execution blocked |
実行されたアクション |
cn1 |
1 |
検出が処理された(1)、または処理されていない(0) |
cn1Label |
Handled |
|
suser |
HP\\home |
イベントに関連付けられたユーザーアカウントの名前 |
deviceProcessName |
C:\\Windows\\explorer.exe |
イベントに関連付けられたプロセスの名前 |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
ブロックされたファイルのSHA1ハッシュ |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
オブジェクトURI |
msg |
ESET Inspect |
ブロックされたファイル説明 |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
コンピューターで初めて検出が見つかった日時。形式が%b %d %Y %H:%M:%Sです |
cs2 |
Blocked by Administrator |
原因 |
cs2Label |
Cause |
|
フィルタリングされたWebサイトイベント
拡張子名 |
例 |
説明 |
---|---|---|
msg |
An attempt to connect to URL |
イベントタイプ |
act |
Blocked |
実行されたアクション |
cn1 |
1 |
検出が処理された(1)、または処理されていない(0) |
cn1Label |
Handled |
|
suser |
Peter |
イベントに関連付けられたユーザーアカウントの名前 |
deviceProcessName |
Firefox |
イベントに関連付けられたプロセスの名前 |
cs1 |
Blocked by PUA blacklist |
ルールID |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
ブロックされた要求のURL |
dst |
172.17.9.224 |
イベント宛先IPv4アドレス |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
イベント宛先IPv6アドレス |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
スキャナーID |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
フィルタリングされたオブジェクトのSHA1ハッシュ |
cs3Label |
Hash |
|