匯出為 CEF 格式的事件
若要過濾傳送至系統日誌的事件防護記錄,請使用已定義的過濾器來建立防護記錄類別通知。
CEF 是由 ArcSight™ 所開發,基於文字的防護記錄格式。CEF 格式包括 CEF 檔頭和 CEF 副檔名。副檔名包含鍵值配對的清單。
CEF 檔頭
檔頭 |
範例 |
說明 |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT On-Prem 版本 |
Device Event Class ID (Signature ID): |
109 |
裝置事件類別唯一識別碼: •100-199 威脅事件 •200-299 防火牆事件 •300–399 HIPS 事件 •400–499 審查事件 •500–599 ESET Inspect 事件 •600-699 封鎖的檔案事件 •700-799 已過濾的網站事件 |
Event Name |
Detected port scanning attack |
該事件所發生情況簡短說明 |
Severity |
5 |
嚴重性: •2 – 資訊 •3 – 通知 •5 – 警告 •7 – 錯誤 •8 – 嚴重 •10 – 重大 |
CEF 副檔名共通於所有類別
副檔名 |
範例 |
說明 |
---|---|---|
cat |
ESET Threat Event |
事件類別: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
產生事件的電腦 IPv4 位址。 |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
產生事件的電腦 IPv6 位址。 |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
包含事件的電腦的主機名稱 |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
產生事件之電腦的 UUID。 |
rt |
Jun 04 2017 14:10:0 |
事件發生的 UTC 時間。格式為 %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
產生事件之電腦的靜態群組的完整路徑。如果路徑超過 255 個字元,則 ESETProtectDeviceGroupName 僅包含靜態群組名稱。 |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
有關電腦作業系統的資訊。 |
ESETProtectDeviceGroupDescription |
Lost & found static group |
靜態群組說明。 |
CEF 副檔名 (按事件類別分類)
威脅事件
副檔名 |
範例 |
說明 |
---|---|---|
cs1 |
W97M/Kojer.A |
發現威脅名稱 |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
偵測引擎版本 |
cs2Label |
Engine Version |
|
cs3 |
Virus |
偵測類型 |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
掃描器 ID |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
掃描 ID |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
「動作」不成功時產生的錯誤訊息 |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
事件發生原因的簡短說明 |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
(偵測) 資料流的 SHA1 雜湊。 |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
由端點執行的處理方法 |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
物件 URI |
fileType |
File |
與事件相關的物件類型 |
cn1 |
1 |
偵測已處理 (1) 或未處理 (0) |
cn1Label |
Handled |
|
cn2 |
0 |
需要 (1) 或者不需要 (0) 重新啟動 |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
與事件相關的使用者帳戶 |
sprod |
C:\\7-Zip\\7z.exe |
事件來源處理程序的名稱 |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
此電腦上首次發現偵測的時間和日期。格式為 %b %d %Y %H:%M:%S |
防火牆事件
副檔名 |
範例 |
說明 |
---|---|---|
msg |
TCP Port Scanning attack |
事件名稱 |
src |
127.0.0.1 |
事件來源 IPv4 位址 |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
事件來源 IPv6 位址 |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
事件來源的連接埠 |
dst |
127.0.0.2 |
事件目的地 IPv4 位址 |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
事件目的地 IPv6 位址 |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
事件目的地連接埠 |
proto |
http |
通訊協定 |
act |
Blocked |
已採取行動 |
cn1 |
1 |
偵測已處理 (1) 或未處理 (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
與事件相關的使用者帳戶 |
deviceProcessName |
someApp.exe |
與事件相關的程序名稱 |
deviceDirection |
1 |
連接是外來 (0) 或對外 (1) |
cnt |
3 |
由 ESET PROTECT On-Prem 和 ESET Management 代理程式之間的兩個連續副本之間端點產生的相同訊息數量 |
cs1 |
|
規則 ID |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
規則名稱 |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
威脅名稱 |
cs3Label |
Threat Name |
|
HIPS
副檔名 |
範例 |
說明 |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
規則 ID |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
規則名稱 |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
應用程式名稱 |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
作業 |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
目標 |
cs5Label |
Target |
|
act |
Blocked |
已採取行動 |
cs2 |
custom_rule_12 |
規則名稱 |
cn1 |
1 |
偵測已處理 (1) 或未處理 (0) |
cn1Label |
Handled |
|
cnt |
3 |
由 ESET PROTECT On-Prem 和 ESET Management 代理程式之間的兩個連續副本之間端點產生的相同訊息數量 |
審查事件
副檔名 |
範例 |
說明 |
---|---|---|
act |
Login attempt |
採取處理方法 |
suser |
Administrator |
有關的安全性使用者 |
duser |
Administrator |
目標安全使用者 (例如,用於登入嘗試) |
msg |
Authenticating native user 'Administrator' |
處理方法的詳細說明 |
cs1 |
Native user |
審查記錄檔網域 |
cs1Label |
Audit Domain |
|
cs2 |
Success |
處理方法結果 |
cs2Label |
Result |
|
事件 ESET Inspect
副檔名 |
範例 |
說明 |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
造成此警示的程序名稱 |
suser |
HP\\home |
處理程序擁有者 |
cs2 |
custom_rule_12 |
觸發此警示的規則名稱 |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
警報 SHA1 雜湊 |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
在 Web 主控台中連結到 ESET Inspect On-Prem 警報 |
cs4Label |
EI Console Link |
|
cs5 |
126 |
警示連結的 ID 子部分 (^http.*/alarm/([0-9]+)$ 中的 $1) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
電腦嚴重性評分 |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
規則嚴重性評分 |
cn2Label |
SeverityScore |
|
cnt |
3 |
自上一次警報以來產生的相同類型警示的數量 |
封鎖的檔案事件
副檔名 |
範例 |
說明 |
---|---|---|
act |
Execution blocked |
已採取行動 |
cn1 |
1 |
偵測已處理 (1) 或未處理 (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
與事件相關的使用者帳戶 |
deviceProcessName |
C:\\Windows\\explorer.exe |
與事件相關的程序名稱 |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
封鎖的檔案 SHA1 雜湊 |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
物件 URI |
msg |
ESET Inspect |
封鎖的檔案說明 |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
此電腦上首次發現偵測的時間和日期。格式為 %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
原因 |
cs2Label |
Cause |
|
已過濾的網站事件
副檔名 |
範例 |
說明 |
---|---|---|
msg |
An attempt to connect to URL |
事件類型 |
act |
Blocked |
已採取行動 |
cn1 |
1 |
偵測已處理 (1) 或未處理 (0) |
cn1Label |
Handled |
|
suser |
Peter |
與事件相關的使用者帳戶 |
deviceProcessName |
Firefox |
與事件相關的程序名稱 |
cs1 |
Blocked by PUA blacklist |
規則 ID |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
封鎖要求的 URL |
dst |
172.17.9.224 |
事件目的地 IPv4 位址 |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
事件目的地 IPv6 位址 |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
掃描器 ID |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
已過濾物件的 SHA1 雜湊 |
cs3Label |
Hash |
|