Udalosti exportované vo formáte CEF
Na filtrovanie protokolov udalostí odoslaných do Syslogu vytvorte oznámenie pre kategóriu protokolov s definovaným filtrom.
CEF je textový formát protokolu vyvinutý spoločnosťou ArcSight™. Formát CEF obsahuje hlavičku CEF a rozšírenie CEF. Rozšírenie obsahuje zoznam párov kľúč-hodnota.
Hlavička CEF
Hlavička |
Príklad |
Popis |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
Verzia ESET PROTECT On-Prem |
Device Event Class ID (Signature ID): |
109 |
Jedinečný identifikátor kategórie udalosti na zariadení: •100 – 199 Hrozba •200 – 299 Udalosť firewallu •300 – 399 Udalosť modulu HIPS •400 – 499 Audit •500 – 599 Udalosť nástroja ESET Inspect •600 – 699 Blokované súbory •700 – 799 Filtrované webové stránky |
Event Name |
Detected port scanning attack |
Krátky opis toho, čo sa počas udalosti stalo |
Severity |
5 |
Závažnosť: •2 – Informácia •3 – Oznámenie •5 – Upozornenie •7 – Chyba •8 – Kritické •10 – Závažné |
Rozšírenia CEF spoločné pre všetky kategórie
Názov rozšírenia |
Príklad |
Popis |
---|---|---|
cat |
ESET Threat Event |
Kategória udalosti: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
IPv4 adresa počítača, ktorý generoval udalosť |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
IPv6 adresa počítača, ktorý generoval udalosť |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Názov hostiteľa počítača s udalosťou |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
UUID počítača, ktorý generoval udalosť |
rt |
Jun 04 2017 14:10:0 |
Čas vo formáte UTC, kedy udalosť vznikla. Formát je %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
Úplná cesta k statickej skupine počítača, ktorý generoval udalosť. Ak je cesta dlhšia ako 255 znakov, ESETProtectDeviceGroupName obsahuje len názov statickej skupiny. |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
Informácie o operačnom systéme počítača. |
ESETProtectDeviceGroupDescription |
Lost & found static group |
Popis statickej skupiny. |
Rozšírenia CEF podľa kategórie udalosti
Hrozby
Názov rozšírenia |
Príklad |
Popis |
---|---|---|
cs1 |
W97M/Kojer.A |
Názov zistenej hrozby |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Verzia detekčného jadra |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Typ detekcie |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
ID skenera |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
ID kontroly |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Chybové hlásenie v prípade, že akcia nebola úspešná |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Krátka informácia o tom, čo spôsobilo danú udalosť |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
SHA1 hash (detekčného) dátového toku |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
Akciu vykonalo koncové zariadenie |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Objekt URI |
fileType |
File |
Typ objektu súvisiaci s udalosťou |
cn1 |
1 |
Detekcia bola spracovaná (1) alebo nebola spracovaná (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Je potrebný reštart (1) alebo nie je potrebný reštart (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Názov používateľského účtu spojeného s touto udalosťou |
sprod |
C:\\7-Zip\\7z.exe |
Názov procesu zdroja udalosti |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Čas a dátum, keď bola detekcia prvýkrát nájdená na danom počítači. Formát je %b %d %Y %H:%M:%S |
Príklad protokolu o hrozbách vo formáte CEF:
Udalosti firewallu
Názov rozšírenia |
Príklad |
Popis |
---|---|---|
msg |
TCP Port Scanning attack |
Názov udalosti |
src |
127.0.0.1 |
IPv4 adresa zdroja udalosti |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
IPv6 adresa zdroja udalosti |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Port zdroja udalosti |
dst |
127.0.0.2 |
Ipv4 adresa cieľa udalosti |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Ipv6 adresa cieľa udalosti |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Port cieľa udalosti |
proto |
http |
Protokol |
act |
Blocked |
Vykonaná akcia |
cn1 |
1 |
Detekcia bola spracovaná (1) alebo nebola spracovaná (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Názov používateľského účtu spojeného s touto udalosťou |
deviceProcessName |
someApp.exe |
Názov procesu spojeného s touto udalosťou |
deviceDirection |
1 |
Išlo o prichádzajúce pripojenie (0) alebo odchádzajúce pripojenie (1) |
cnt |
3 |
Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT On-Prem |
cs1 |
|
ID pravidla |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Názov pravidla |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Názov hrozby |
cs3Label |
Threat Name |
|
Príklad protokolu o udalostiach firewallu vo formáte CEF:
Udalosti modulu HIPS
Názov rozšírenia |
Príklad |
Popis |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
ID pravidla |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Názov pravidla |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Názov aplikácie |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Operácia |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Cieľ |
cs5Label |
Target |
|
act |
Blocked |
Vykonaná akcia |
cs2 |
custom_rule_12 |
Názov pravidla |
cn1 |
1 |
Detekcia bola spracovaná (1) alebo nebola spracovaná (0) |
cn1Label |
Handled |
|
cnt |
3 |
Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT On-Prem |
Príklad protokolu o udalostiach HIPS vo formáte CEF:
Audity
Názov rozšírenia |
Príklad |
Popis |
---|---|---|
act |
Login attempt |
Vykonávaná akcia |
suser |
Administrator |
Užívateľ vykonávajúci akciu |
duser |
Administrator |
Cielené zabezpečenie používateľa (napríklad pri pokusoch o prihlásenie) |
msg |
Authenticating native user 'Administrator' |
Podrobný popis akcie |
cs1 |
Native user |
Doména protokolu auditu |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Výsledok akcie |
cs2Label |
Result |
|
Príklad protokolu auditu vo formáte CEF:
Udalosti nástroja ESET Inspect
Názov rozšírenia |
Príklad |
Popis |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Názov procesu, ktorý spôsobil upozornenie |
suser |
HP\\home |
Vlastník procesu |
cs2 |
custom_rule_12 |
Názov pravidla, ktoré spustilo upozornenie |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
SHA1 hash upozornenia |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Odkaz na upozornenie v ESET Inspect On-Prem Web Console |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Podčasť ID odkazu na upozornenie ($1 v ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Skóre závažnosti počítača |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Skóre závažnosti pravidla |
cn2Label |
SeverityScore |
|
cnt |
3 |
Počet upozornení rovnakého typu vygenerovaných od posledného upozornenia |
Príklad protokolu o udalostiach ESET Inspect vo formáte CEF:
Blokované súbory
Názov rozšírenia |
Príklad |
Popis |
---|---|---|
act |
Execution blocked |
Vykonaná akcia |
cn1 |
1 |
Detekcia bola spracovaná (1) alebo nebola spracovaná (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Názov používateľského účtu spojeného s touto udalosťou |
deviceProcessName |
C:\\Windows\\explorer.exe |
Názov procesu spojeného s touto udalosťou |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
SHA1 hash blokovaného súboru |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Objekt URI |
msg |
ESET Inspect |
Popis blokovaného súboru |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Čas a dátum, keď bola detekcia prvýkrát nájdená na danom počítači. Formát je %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Príčina |
cs2Label |
Cause |
|
Príklad protokolu o blokovaných súboroch vo formáte CEF:
Filtrované webové stránky
Názov rozšírenia |
Príklad |
Popis |
---|---|---|
msg |
An attempt to connect to URL |
Typ udalosti |
act |
Blocked |
Vykonaná akcia |
cn1 |
1 |
Detekcia bola spracovaná (1) alebo nebola spracovaná (0) |
cn1Label |
Handled |
|
suser |
Peter |
Názov používateľského účtu spojeného s touto udalosťou |
deviceProcessName |
Firefox |
Názov procesu spojeného s touto udalosťou |
cs1 |
Blocked by PUA blacklist |
ID pravidla |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL blokovanej požiadavky |
dst |
172.17.9.224 |
IPv4 adresa cieľa udalosti |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
IPv6 adresa cieľa udalosti |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
ID skenera |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
SHA1 hash filtrovaného objektu |
cs3Label |
Hash |
|
Príklad protokolu o filtrovaných webových stránkach vo formáte CEF: