Udalosti exportované vo formáte CEF

Na filtrovanie protokolov udalostí odoslaných do Syslogu vytvorte oznámenie pre kategóriu protokolov s definovaným filtrom.

CEF je textový formát protokolu vyvinutý spoločnosťou ArcSight™. Formát CEF obsahuje hlavičku CEF a rozšírenie CEF. Rozšírenie obsahuje zoznam párov kľúč-hodnota.

Hlavička CEF

Hlavička	Príklad	Popis
Device Vendor	ESET
Device Product	Protect
Device Version	10.0.5.1	Verzia ESET PROTECT On-Prem
Device Event Class ID (Signature ID):	109	Jedinečný identifikátor kategórie udalosti na zariadení: •100 – 199 Hrozba •200 – 299 Udalosť firewallu •300 – 399 Udalosť modulu HIPS •400 – 499 Audit •500 – 599 Udalosť nástroja ESET Inspect •600 – 699 Blokované súbory •700 – 799 Filtrované webové stránky
Event Name	Detected port scanning attack	Krátky opis toho, čo sa počas udalosti stalo
Severity	5	Závažnosť: •2 – Informácia •3 – Oznámenie •5 – Upozornenie •7 – Chyba •8 – Kritické •10 – Závažné

Rozšírenia CEF spoločné pre všetky kategórie

Názov rozšírenia	Príklad	Popis
cat	ESET Threat Event	Kategória udalosti: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	IPv4 adresa počítača, ktorý generoval udalosť
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	IPv6 adresa počítača, ktorý generoval udalosť
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	Názov hostiteľa počítača s udalosťou
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	UUID počítača, ktorý generoval udalosť
rt	Jun 04 2017 14:10:0	Čas vo formáte UTC, kedy udalosť vznikla. Formát je %b %d %Y %H:%M:%S
ESETProtectDeviceGroupName	All/Lost & found	Úplná cesta k statickej skupine počítača, ktorý generoval udalosť. Ak je cesta dlhšia ako 255 znakov, ESETProtectDeviceGroupName obsahuje len názov statickej skupiny.
ESETProtectDeviceOsName	Microsoft Windows 11 Pro	Informácie o operačnom systéme počítača.
ESETProtectDeviceGroupDescription	Lost & found static group	Popis statickej skupiny.

Rozšírenia CEF podľa kategórie udalosti

Hrozby

Názov rozšírenia	Príklad	Popis
cs1	W97M/Kojer.A	Názov zistenej hrozby
cs1Label	Threat Name
cs2	25898 (20220909)	Verzia detekčného jadra
cs2Label	Engine Version
cs3	Virus	Typ detekcie
cs3Label	Threat Type
cs4	Real-time file system protection	ID skenera
cs4Label	Scanner ID
cs5	virlog.dat	ID kontroly
cs5Label	Scan ID
cs6	Failed to remove file	Chybové hlásenie v prípade, že akcia nebola úspešná
cs6Label	Action Error
cs7	Event occurred on a newly created file	Krátka informácia o tom, čo spôsobilo danú udalosť
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	SHA1 hash (detekčného) dátového toku
cs8Label	Hash
act	Cleaned by deleting file	Akciu vykonalo koncové zariadenie
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	Objekt URI
fileType	File	Typ objektu súvisiaci s udalosťou
cn1	1	Detekcia bola spracovaná (1) alebo nebola spracovaná (0)
cn1Label	Handled
cn2	0	Je potrebný reštart (1) alebo nie je potrebný reštart (0)
cn2Label	Restart Needed
suser	172-MG\\Administrator	Názov používateľského účtu spojeného s touto udalosťou
sprod	C:\\7-Zip\\7z.exe	Názov procesu zdroja udalosti
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Čas a dátum, keď bola detekcia prvýkrát nájdená na danom počítači. Formát je %b %d %Y %H:%M:%S

Príklad protokolu o hrozbách vo formáte CEF:

Udalosti firewallu

Názov rozšírenia	Príklad	Popis
msg	TCP Port Scanning attack	Názov udalosti
src	127.0.0.1	IPv4 adresa zdroja udalosti
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	IPv6 adresa zdroja udalosti
c6a2Label	Source IPv6 Address
spt	36324	Port zdroja udalosti
dst	127.0.0.2	Ipv4 adresa cieľa udalosti
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Ipv6 adresa cieľa udalosti
c6a3Label	Destination IPv6 Address
dpt	24	Port cieľa udalosti
proto	http	Protokol
act	Blocked	Vykonaná akcia
cn1	1	Detekcia bola spracovaná (1) alebo nebola spracovaná (0)
cn1Label	Handled
suser	172-MG\\Administrator	Názov používateľského účtu spojeného s touto udalosťou
deviceProcessName	someApp.exe	Názov procesu spojeného s touto udalosťou
deviceDirection	1	Išlo o prichádzajúce pripojenie (0) alebo odchádzajúce pripojenie (1)
cnt	3	Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT On-Prem
cs1		ID pravidla
cs1Label	Rule ID
cs2	custom_rule_12	Názov pravidla
cs2Label	Rule Name
cs3	Win32/Botnet.generic	Názov hrozby
cs3Label	Threat Name

Príklad protokolu o udalostiach firewallu vo formáte CEF:

Udalosti modulu HIPS

Názov rozšírenia	Príklad	Popis
cs1	Suspicious attempt to launch an application	ID pravidla
cs1Label	Rule ID
cs2	custom_rule_12	Názov pravidla
cs2Label	Rule Name
cs3	C:\\someapp.exe	Názov aplikácie
cs3Label	Application
cs4	Attempt to run a suspicious object	Operácia
cs4Label	Operation
cs5	C:\\somevirus.exe	Cieľ
cs5Label	Target
act	Blocked	Vykonaná akcia
cs2	custom_rule_12	Názov pravidla
cn1	1	Detekcia bola spracovaná (1) alebo nebola spracovaná (0)
cn1Label	Handled
cnt	3	Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT On-Prem

Príklad protokolu o udalostiach HIPS vo formáte CEF:

Audity

Názov rozšírenia	Príklad	Popis
act	Login attempt	Vykonávaná akcia
suser	Administrator	Užívateľ vykonávajúci akciu
duser	Administrator	Cielené zabezpečenie používateľa (napríklad pri pokusoch o prihlásenie)
msg	Authenticating native user 'Administrator'	Podrobný popis akcie
cs1	Native user	Doména protokolu auditu
cs1Label	Audit Domain
cs2	Success	Výsledok akcie
cs2Label	Result

Príklad protokolu auditu vo formáte CEF:

Udalosti nástroja ESET Inspect

Názov rozšírenia	Príklad	Popis
deviceProcessName	c:\\imagepath_bin.exe	Názov procesu, ktorý spôsobil upozornenie
suser	HP\\home	Vlastník procesu
cs2	custom_rule_12	Názov pravidla, ktoré spustilo upozornenie
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	SHA1 hash upozornenia
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	Odkaz na upozornenie v ESET Inspect On-Prem Web Console
cs4Label	EI Console Link
cs5	126	Podčasť ID odkazu na upozornenie ($1 v ^http.*/alarm/([0-9]+)$)
cs5Label	EI Alarm ID
cn1	275	Skóre závažnosti počítača
cn1Label	ComputerSeverityScore
cn2	60	Skóre závažnosti pravidla
cn2Label	SeverityScore
cnt	3	Počet upozornení rovnakého typu vygenerovaných od posledného upozornenia

Príklad protokolu o udalostiach ESET Inspect vo formáte CEF:

Blokované súbory

Názov rozšírenia	Príklad	Popis
act	Execution blocked	Vykonaná akcia
cn1	1	Detekcia bola spracovaná (1) alebo nebola spracovaná (0)
cn1Label	Handled
suser	HP\\home	Názov používateľského účtu spojeného s touto udalosťou
deviceProcessName	C:\\Windows\\explorer.exe	Názov procesu spojeného s touto udalosťou
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	SHA1 hash blokovaného súboru
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	Objekt URI
msg	ESET Inspect	Popis blokovaného súboru
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Čas a dátum, keď bola detekcia prvýkrát nájdená na danom počítači. Formát je %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	Príčina
cs2Label	Cause

Príklad protokolu o blokovaných súboroch vo formáte CEF:

Filtrované webové stránky

Názov rozšírenia	Príklad	Popis
msg	An attempt to connect to URL	Typ udalosti
act	Blocked	Vykonaná akcia
cn1	1	Detekcia bola spracovaná (1) alebo nebola spracovaná (0)
cn1Label	Handled
suser	Peter	Názov používateľského účtu spojeného s touto udalosťou
deviceProcessName	Firefox	Názov procesu spojeného s touto udalosťou
cs1	Blocked by PUA blacklist	ID pravidla
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	URL blokovanej požiadavky
dst	172.17.9.224	IPv4 adresa cieľa udalosti
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	IPv6 adresa cieľa udalosti
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	ID skenera
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	SHA1 hash filtrovaného objektu
cs3Label	Hash

Príklad protokolu o filtrovaných webových stránkach vo formáte CEF:

˄˅