Ajuda on-line ESET

Pesquisar English
Selecionar categoria
Selecionar tópico

Eventos exportados para o formato CEF

Para filtrar os relatórios de evento enviados para o Syslog, crie uma notificação de categoria de relatório com um filtro definido.

CEF é um formato de relatório baseado em texto desenvolvido por ArcSight™. O formato CEF inclui um cabeçalho CEF e uma extensão CEF. A extensão contém uma lista de pares de valor de chave.

Cabeçalho CEF

Cabeçalho

Exemplo

Descrição

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

ESET PROTECT On-Prem versão

Device Event Class ID (Signature ID):

109

Identificador exclusivo da categoria de evento do dispositivo:

100 – Evento de ameaça 199

200 – Evento de firewall 299

300399 HIPS evento

400–499 evento de auditoria

500–599 ESET Inspect evento

600 – Evento de arquivos bloqueados 699

700 – Evento de sites filtrados 799

Event Name

Detected port scanning attack

Uma breve descrição do que aconteceu no evento

Severity

5

Gravidade

2 – Informações

3 – Aviso

5 – Alerta

7 – Erro

8 – Crítico

10 – Fatal

Extensões CEF comuns para todas as categorias

Nome da extensão

Exemplo

Descrição

cat

ESET Threat Event

Categoria de evento:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

Endereço IPv4 do computador gerando o evento.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Endereço IPv6 do computador gerando o evento.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Nome de host do computador com o evento

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID do computador gerando o evento.

rt

Jun 04 2017 14:10:0

Hora UTC de ocorrência do evento. O formato é %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

O caminho completo para o grupo estático do computador gerando o evento. Se o caminho for maior que 255 caracteres o ESETProtectDeviceGroupName vai ter apenas o nome do grupo estático.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

Informações sobre o sistema operacional do computador.

ESETProtectDeviceGroupDescription

Lost & found static group

Descrição do grupo estático.

Extensões CEF por categoria de evento

Eventos de ameaça

Nome da extensão

Exemplo

Descrição

cs1

W97M/Kojer.A

Nome da ameaça encontrada

cs1Label

Threat Name

 

cs2

25898 (20220909)

Versão do mecanismo de detecção

cs2Label

Engine Version

 

cs3

Virus

Tipo de detecção

cs3Label

Threat Type

 

cs4

Real-time

file system protection

ID do Scanner

cs4Label

Scanner ID

 

cs5

virlog.dat

ID de rastreamento

cs5Label

Scan ID

 

cs6

Failed to remove file

Mensagem de erro se a "ação" não for bem sucedida

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Descrição breve do que causou o evento

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

SHA1 hash do fluxo de dados (detecção).

cs8Label

Hash

 

act

Cleaned by deleting file

A ação foi realizada pelo endpoint

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Objeto URI

fileType

File

Tipo de objeto relacionado ao evento

cn1

1

A detecção foi tratada (1) ou não foi tratada (0)

cn1Label

Handled

 

cn2

0

É necessário reiniciar (1) ou não é necessário reiniciar (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Nome da conta de usuário associada ao evento

sprod

C:\\7-Zip\\7z.exe

O nome do processo de origem do evento

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

A hora e a data em que a detecção foi encontrada pela primeira vez na máquina. O formato é %b %d %Y %H:%M:%S

arrow_down_business Exemplo de relatório CEF de evento de ameaça:

Eventos de firewall

Nome da extensão

Exemplo

Descrição

msg

TCP Port Scanning attack

Nome do evento

src

127.0.0.1

Endereço de origem do evento IPv4

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Endereço de origem do evento IPv6

c6a2Label

Source IPv6 Address

 

spt

36324

Porta de origem do evento

dst

127.0.0.2

Endereço IPv4 de destino do evento

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Endereço IPv6 de destino do evento

c6a3Label

Destination IPv6 Address

 

dpt

24

Porta de destino de evento

proto

http

Protocolo

act

Blocked

Ação realizada

cn1

1

A detecção foi tratada (1) ou não foi tratada (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Nome da conta de usuário associada ao evento

deviceProcessName

someApp.exe

Nome do processo associado ao evento

deviceDirection

1

A conexão era de entrada (0) ou saída (1)

cnt

3

O número das mesmas mensagens geradas pelo endpoint entre duas replicações consecutivas entre o ESET PROTECT On-Prem e o Agente ESET Management

cs1

 

ID de regra

cs1Label

Rule ID

 

cs2

custom_rule_12

Nome da regra

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Nome da ameaça

cs3Label

Threat Name

 

arrow_down_business Exemplo de relatório CEF de evento de firewall:

HIPS eventos

Nome da extensão

Exemplo

Descrição

cs1

Suspicious attempt to launch an application

ID de regra

cs1Label

Rule ID

 

cs2

custom_rule_12

Nome da regra

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Nome do aplicativo

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Operação

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Destino

cs5Label

Target

 

act

Blocked

Ação realizada

cs2

custom_rule_12

Nome da regra

cn1

1

A detecção foi tratada (1) ou não foi tratada (0)

cn1Label

Handled

 

cnt

3

O número das mesmas mensagens geradas pelo endpoint entre duas replicações consecutivas entre o ESET PROTECT On-Prem e o Agente ESET Management

arrow_down_business Exemplo de relatório CEF de evento HIPS:

Eventos de auditoria

Nome da extensão

Exemplo

Descrição

act

Login attempt

Ação sendo realizada

suser

Administrator

Usuário de segurança envolvido

duser

Administrator

Usuário de segurança de destino (por exemplo, para tentativas de login)

msg

Authenticating native user 'Administrator'

Uma descrição detalhada da ação

cs1

Native user

Domínio de relatório de auditoria

cs1Label

Audit Domain

 

cs2

Success

Resultado da ação

cs2Label

Result

 

arrow_down_business Exemplo de relatório CEF de evento de auditoria:

ESET Inspect eventos

Nome da extensão

Exemplo

Descrição

deviceProcessName

c:\\imagepath_bin.exe

Nome do processo causando esse alarme

suser

HP\\home

Proprietário do processo

cs2

custom_rule_12

Nome da regra acionando este alarme

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Alarme de hash SHA1

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Link para o alarme no Web Console ESET Inspect On-Prem

cs4Label

EI Console Link

 

cs5

126

ID da subparte do link de alarme ($1 no ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Pontuação de gravidade do computador

cn1Label

ComputerSeverityScore

 

cn2

60

Pontuação de gravidade da regra

cn2Label

SeverityScore

 

cnt

3

O número de alertas do mesmo tipo gerados desde o último alarme

arrow_down_business Exemplo de relatório CEF de evento ESET Inspect:

Eventos de arquivos bloqueados

Nome da extensão

Exemplo

Descrição

act

Execution blocked

Ação realizada

cn1

1

A detecção foi tratada (1) ou não foi tratada (0)

cn1Label

Handled

 

suser

HP\\home

Nome da conta de usuário associada ao evento

deviceProcessName

C:\\Windows\\explorer.exe

Nome do processo associado ao evento

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hash SHA1 do arquivo bloqueado

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Objeto URI

msg

ESET Inspect

Descrição do arquivo bloqueado

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

A hora e a data em que a detecção foi encontrada pela primeira vez na máquina. O formato é %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Causa

cs2Label

Cause

 

arrow_down_business Exemplo de relatório CEF de evento de arquivos bloqueados:

Eventos de site filtrados

Nome da extensão

Exemplo

Descrição

msg

An attempt to connect to URL

Tipo do evento

act

Blocked

Ação realizada

cn1

1

A detecção foi tratada (1) ou não foi tratada (0)

cn1Label

Handled

 

suser

Peter

Nome da conta de usuário associada ao evento

deviceProcessName

Firefox

Nome do processo associado ao evento

cs1

Blocked by PUA blacklist

ID de regra

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL de solicitação bloqueada

dst

172.17.9.224

Endereço de destino do evento IPv4

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Endereço de destino do evento IPv6

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

ID do Scanner

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Hashs SHA1 do objeto filtrado

cs3Label

Hash

 

arrow_down_business Exemplo de relatório CEF de evento de site filtrado: