ESET Online pomocník

Vyhľadať English
Vyberte kategóriu
Vyberte kapitolu

Udalosti exportované vo formáte CEF

Na filtrovanie protokolov udalostí odoslaných do Syslogu vytvorte oznámenie pre kategóriu protokolov s definovaným filtrom.

CEF je textový formát protokolu vyvinutý spoločnosťou ArcSight™. Formát CEF obsahuje hlavičku CEF a rozšírenie CEF. Rozšírenie obsahuje zoznam párov kľúč-hodnota.

Hlavička CEF

Hlavička

Príklad

Popis

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

Verzia ESET PROTECT On-Prem

Device Event Class ID (Signature ID):

109

Jedinečný identifikátor kategórie udalosti na zariadení:

100 – 199 Hrozba

200 – 299 Udalosť firewallu

300 – 399 Udalosť modulu HIPS

400 – 499 Audit

500 – 599 Udalosť nástroja ESET Inspect

600 – 699 Blokované súbory

700 – 799 Filtrované webové stránky

Event Name

Detected port scanning attack

Krátky opis toho, čo sa počas udalosti stalo

Severity

5

Závažnosť:

2 – Informácia

3 – Oznámenie

5 – Upozornenie

7 – Chyba

8 – Kritické

10 – Závažné

Rozšírenia CEF spoločné pre všetky kategórie

Názov rozšírenia

Príklad

Popis

cat

ESET Threat Event

Kategória udalosti:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

IPv4 adresa počítača, ktorý generoval udalosť

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6 adresa počítača, ktorý generoval udalosť

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Názov hostiteľa počítača s udalosťou

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID počítača, ktorý generoval udalosť

rt

Jun 04 2017 14:10:0

Čas vo formáte UTC, kedy udalosť vznikla. Formát je %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

Úplná cesta k statickej skupine počítača, ktorý generoval udalosť. Ak je cesta dlhšia ako 255 znakov, ESETProtectDeviceGroupName obsahuje len názov statickej skupiny.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

Informácie o operačnom systéme počítača.

ESETProtectDeviceGroupDescription

Lost & found static group

Popis statickej skupiny.

Rozšírenia CEF podľa kategórie udalosti

Hrozby

Názov rozšírenia

Príklad

Popis

cs1

W97M/Kojer.A

Názov zistenej hrozby

cs1Label

Threat Name

 

cs2

25898 (20220909)

Verzia detekčného jadra

cs2Label

Engine Version

 

cs3

Virus

Typ detekcie

cs3Label

Threat Type

 

cs4

Real-time

file system protection

ID skenera

cs4Label

Scanner ID

 

cs5

virlog.dat

ID kontroly

cs5Label

Scan ID

 

cs6

Failed to remove file

Chybové hlásenie v prípade, že akcia nebola úspešná

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Krátka informácia o tom, čo spôsobilo danú udalosť

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

SHA1 hash (detekčného) dátového toku

cs8Label

Hash

 

act

Cleaned by deleting file

Akciu vykonalo koncové zariadenie

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Objekt URI

fileType

File

Typ objektu súvisiaci s udalosťou

cn1

1

Detekcia bola spracovaná (1) alebo nebola spracovaná (0)

cn1Label

Handled

 

cn2

0

Je potrebný reštart (1) alebo nie je potrebný reštart (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Názov používateľského účtu spojeného s touto udalosťou

sprod

C:\\7-Zip\\7z.exe

Názov procesu zdroja udalosti

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Čas a dátum, keď bola detekcia prvýkrát nájdená na danom počítači. Formát je %b %d %Y %H:%M:%S

arrow_down_business Príklad protokolu o hrozbách vo formáte CEF:

Udalosti firewallu

Názov rozšírenia

Príklad

Popis

msg

TCP Port Scanning attack

Názov udalosti

src

127.0.0.1

IPv4 adresa zdroja udalosti

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6 adresa zdroja udalosti

c6a2Label

Source IPv6 Address

 

spt

36324

Port zdroja udalosti

dst

127.0.0.2

Ipv4 adresa cieľa udalosti

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Ipv6 adresa cieľa udalosti

c6a3Label

Destination IPv6 Address

 

dpt

24

Port cieľa udalosti

proto

http

Protokol

act

Blocked

Vykonaná akcia

cn1

1

Detekcia bola spracovaná (1) alebo nebola spracovaná (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Názov používateľského účtu spojeného s touto udalosťou

deviceProcessName

someApp.exe

Názov procesu spojeného s touto udalosťou

deviceDirection

1

Išlo o prichádzajúce pripojenie (0) alebo odchádzajúce pripojenie (1)

cnt

3

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT On-Prem

cs1

 

ID pravidla

cs1Label

Rule ID

 

cs2

custom_rule_12

Názov pravidla

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Názov hrozby

cs3Label

Threat Name

 

arrow_down_business Príklad protokolu o udalostiach firewallu vo formáte CEF:

Udalosti nástroja HIPS

Názov rozšírenia

Príklad

Popis

cs1

Suspicious attempt to launch an application

ID pravidla

cs1Label

Rule ID

 

cs2

custom_rule_12

Názov pravidla

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Názov aplikácie

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Operácia

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Cieľ

cs5Label

Target

 

act

Blocked

Vykonaná akcia

cs2

custom_rule_12

Názov pravidla

cn1

1

Detekcia bola spracovaná (1) alebo nebola spracovaná (0)

cn1Label

Handled

 

cnt

3

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT On-Prem

arrow_down_business Príklad protokolu o udalostiach HIPS vo formáte CEF:

Audity

Názov rozšírenia

Príklad

Popis

act

Login attempt

Vykonávaná akcia

suser

Administrator

Užívateľ vykonávajúci akciu

duser

Administrator

Cielené zabezpečenie používateľa (napríklad pri pokusoch o prihlásenie)

msg

Authenticating native user 'Administrator'

Podrobný popis akcie

cs1

Native user

Doména protokolu auditu

cs1Label

Audit Domain

 

cs2

Success

Výsledok akcie

cs2Label

Result

 

arrow_down_business Príklad protokolu auditu vo formáte CEF:

Udalosti nástroja ESET Inspect

Názov rozšírenia

Príklad

Popis

deviceProcessName

c:\\imagepath_bin.exe

Názov procesu, ktorý spôsobil upozornenie

suser

HP\\home

Vlastník procesu

cs2

custom_rule_12

Názov pravidla, ktoré spustilo upozornenie

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

SHA1 hash upozornenia

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Odkaz na upozornenie v ESET Inspect On-Prem Web Console

cs4Label

EI Console Link

 

cs5

126

Podčasť ID odkazu na upozornenie ($1 v ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Skóre závažnosti počítača

cn1Label

ComputerSeverityScore

 

cn2

60

Skóre závažnosti pravidla

cn2Label

SeverityScore

 

cnt

3

Počet upozornení rovnakého typu vygenerovaných od posledného upozornenia

arrow_down_business Príklad protokolu o udalostiach ESET Inspect vo formáte CEF:

Blokované súbory

Názov rozšírenia

Príklad

Popis

act

Execution blocked

Vykonaná akcia

cn1

1

Detekcia bola spracovaná (1) alebo nebola spracovaná (0)

cn1Label

Handled

 

suser

HP\\home

Názov používateľského účtu spojeného s touto udalosťou

deviceProcessName

C:\\Windows\\explorer.exe

Názov procesu spojeného s touto udalosťou

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

SHA1 hash blokovaného súboru

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Objekt URI

msg

ESET Inspect

Popis blokovaného súboru

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Čas a dátum, keď bola detekcia prvýkrát nájdená na danom počítači. Formát je %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Príčina

cs2Label

Cause

 

arrow_down_business Príklad protokolu o blokovaných súboroch vo formáte CEF:

Filtrované webové stránky

Názov rozšírenia

Príklad

Popis

msg

An attempt to connect to URL

Typ udalosti

act

Blocked

Vykonaná akcia

cn1

1

Detekcia bola spracovaná (1) alebo nebola spracovaná (0)

cn1Label

Handled

 

suser

Peter

Názov používateľského účtu spojeného s touto udalosťou

deviceProcessName

Firefox

Názov procesu spojeného s touto udalosťou

cs1

Blocked by PUA blacklist

ID pravidla

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL blokovanej požiadavky

dst

172.17.9.224

IPv4 adresa cieľa udalosti

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

IPv6 adresa cieľa udalosti

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

ID skenera

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

SHA1 hash filtrovaného objektu

cs3Label

Hash

 

arrow_down_business Príklad protokolu o filtrovaných webových stránkach vo formáte CEF: