CEF 형식으로 내보낸 이벤트

Device Vendor

ESET

Device Product

Protect

Device Version

10.0.5.1

ESET PROTECT On-Prem 버전으로 업그레이드

Device Event Class ID (Signature ID):

109

장치 이벤트 범주 고유 식별자:

•100–199 위협 이벤트

•200–299 방화벽 이벤트

•300–399 HIPS 이벤트

•400–499 감사 이벤트

•500–599 ESET Inspect 이벤트

•600–699 차단된 파일 이벤트

•700–799 필터링된 웹 사이트 이벤트

Event Name

Detected port scanning attack

이벤트에서 일어난 일에 대한 간략한 설명

Severity

5

심각도

•2 – 정보

•3 – 알림

•5 – 경고

•7 – 오류

•8 – 중요

•10 – 치명적인

cat

ESET Threat Event

이벤트 범주:

•ESET Threat Event

•ESET Firewall Event

•ESET HIPS Event

•ESET RA Audit Event

•ESET Inspect Event

•ESET Blocked File Event

•ESET Filtered Website Event

dvc

10.0.12.59

이벤트를 생성하는 컴퓨터의 IPv4 주소

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

이벤트를 생성하는 컴퓨터의 IPv6 주소

c6a1Label

Device IPv6 Address

dvchost

COMPUTER02

이벤트가 있는 컴퓨터의 호스트 이름

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

이벤트를 생성하는 컴퓨터의 UUID

rt

Jun 04 2017 14:10:0

이벤트가 발생한 UTC 시간. 형식은 %b %d %Y %H:%M:%S입니다.

ESETProtectDeviceGroupName

All/Lost & found

이벤트를 생성하는 컴퓨터의 정적 그룹에 대한 전체 경로입니다. 경로가 255자보다 길면 ESETProtectDeviceGroupName에는 정적 그룹 이름만 포함됩니다.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

컴퓨터의 운영 체제에 대한 정보입니다.

ESETProtectDeviceGroupDescription

Lost & found static group

정적 그룹 설명.

cs1

W97M/Kojer.A

발견된 위협 이름

cs1Label

Threat Name

cs2

25898 (20220909)

진단 엔진 버전

cs2Label

Engine Version

cs3

Virus

탐지 유형

cs3Label

Threat Type

cs4

Real-time

file system protection

검사기 ID

cs4Label

Scanner ID

cs5

virlog.dat

검사 ID

cs5Label

Scan ID

cs6

Failed to remove file

"동작"이 실패한 경우 오류 메시지

cs6Label

Action Error

cs7

Event occurred on a newly created file

이벤트 원인에 대한 간략한 설명

cs7Label

Circumstances

cs8

0000000000000000000000000000000000000000

(탐지) 데이터 스트림의 SHA1 해시입니다.

cs8Label

Hash

act

Cleaned by deleting file

엔드포인트에서 수행된 동작

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

개체 URI

fileType

File

이벤트와 관련된 개체 유형

cn1

1

처리된 탐지(1) 또는 처리되지 않은 탐지(0)

cn1Label

Handled

cn2

0

다시 시작 필요(1) 또는 다시 시작 필요 없음(0)

cn2Label

Restart Needed

suser

172-MG\\Administrator

이벤트와 연결된 사용자 계정의 이름

sprod

C:\\7-Zip\\7z.exe

이벤트 소스 프로세스의 이름

deviceCustomDate1

Jun 04 2019 14:10:00

deviceCustomDate1Label

FirstSeen

컴퓨터에서 처음으로 탐지가 발견된 시간과 날짜입니다. 형식은 %b %d %Y %H:%M:%S입니다.

msg

TCP Port Scanning attack

이벤트 이름

src

127.0.0.1

이벤트 소스 IPv4 주소

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

이벤트 소스 IPv6 주소

c6a2Label

Source IPv6 Address

spt

36324

이벤트 소스의 포트

dst

127.0.0.2

이벤트 대상 IPv4 주소

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

이벤트 대상 IPv6 주소

c6a3Label

Destination IPv6 Address

dpt

24

이벤트 대상 포트

proto

http

프로토콜

act

Blocked

수행된 동작

cn1

1

처리된 탐지(1) 또는 처리되지 않은 탐지(0)

cn1Label

Handled

suser

172-MG\\Administrator

이벤트와 연결된 사용자 계정의 이름

deviceProcessName

someApp.exe

이벤트와 연결된 프로세스의 이름

deviceDirection

1

인바운드 연결(0) 또는 아웃바운드 연결(1)

cnt

3

ESET PROTECT On-Prem 및 ESET Management Agent 간 두 개의 연속 복제 사이에 있는 엔드포인트에서 생성된 동일한 메시지 수

cs1

규칙 ID

cs1Label

Rule ID

cs2

custom_rule_12

규칙 이름

cs2Label

Rule Name

cs3

Win32/Botnet.generic

위협 이름

cs3Label

Threat Name

cs1

Suspicious attempt to launch an application

규칙 ID

cs1Label

Rule ID

cs2

custom_rule_12

규칙 이름

cs2Label

Rule Name

cs3

C:\\someapp.exe

응용 프로그램 이름

cs3Label

Application

cs4

Attempt to run a suspicious object

작업

cs4Label

Operation

cs5

C:\\somevirus.exe

대상

cs5Label

Target

act

Blocked

수행된 동작

cs2

custom_rule_12

규칙 이름

cn1

1

처리된 탐지(1) 또는 처리되지 않은 탐지(0)

cn1Label

Handled

cnt

3

ESET PROTECT On-Prem 및 ESET Management Agent 간 두 개의 연속 복제 사이에 있는 엔드포인트에서 생성된 동일한 메시지 수

act

Login attempt

발생한 동작

suser

Administrator

관련된 보안 사용자

duser

Administrator

대상 보안 사용자(예: 로그인 시도)

msg

Authenticating native user 'Administrator'

동작의 자세한 설명

cs1

Native user

감사 로그 도메인

cs1Label

Audit Domain

cs2

Success

동작 결과

cs2Label

Result

deviceProcessName

c:\\imagepath_bin.exe

이 경보를 발생시키는 프로세스의 이름

suser

HP\\home

프로세스 소유자

cs2

custom_rule_12

이 경보를 트리거하는 규칙의 이름

cs2Label

Rule Name

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

경보 SHA1 해시

cs3Label

Hash

cs4

https://inspect.eset.com:443/console/alarm/126

ESET Inspect On-Prem 웹 콘솔의 경보에 대한 링크

cs4Label

EI Console Link

cs5

126

경보 링크의 ID 하위 부분(^http.*/alarm/([0-9]+)$의 $1)

cs5Label

EI Alarm ID

cn1

275

컴퓨터 심각도 점수

cn1Label

ComputerSeverityScore

cn2

60

규칙 심각도 점수

cn2Label

SeverityScore

cnt

3

마지막 경보 이후에 생성된 같은 유형의 경보 수

act

Execution blocked

수행된 동작

cn1

1

처리된 탐지(1) 또는 처리되지 않은 탐지(0)

cn1Label

Handled

suser

HP\\home

이벤트와 연결된 사용자 계정의 이름

deviceProcessName

C:\\Windows\\explorer.exe

이벤트와 연결된 프로세스의 이름

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

차단된 파일의 SHA1 해시

cs1Label

Hash

filePath

C:\\totalcmd\\TOTALCMD.EXE

개체 URI

msg

ESET Inspect

차단된 파일 설명

deviceCustomDate1

Jun 04 2019 14:10:00

deviceCustomDate1Label

FirstSeen

컴퓨터에서 처음으로 탐지가 발견된 시간과 날짜입니다. 형식은 %b %d %Y %H:%M:%S입니다.

cs2

Blocked by Administrator

원인

cs2Label

Cause

msg

An attempt to connect to URL

이벤트 유형

act

Blocked

수행된 동작

cn1

1

처리된 탐지(1) 또는 처리되지 않은 탐지(0)

cn1Label

Handled

suser

Peter

이벤트와 연결된 사용자 계정의 이름

deviceProcessName

Firefox

이벤트와 연결된 프로세스의 이름

cs1

Blocked by PUA blacklist

규칙 ID

cs1Label

Rule ID

requestUrl

https://kenmmal.com/

차단된 요청 URL

dst

172.17.9.224

이벤트 대상 IPv4 주소

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

이벤트 대상 IPv6 주소

c6a3Label

Destination IPv6 Address

cs2

HTTP filter

검사기 ID

cs2Label

Scanner ID

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

필터링된 개체의 SHA1 해시

cs3Label

Hash