Eventos exportados a formato CEF
Para filtrar los registros de sucesos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido.
CEF es un formato de registro de texto desarrollado por ArcSight™. El CEF formato incluye un encabezado CEF y una extensión CEF. La extensión contiene una lista de pares clave-valor.
Encabezado CEF
Encabezado |
Ejemplo |
Descripción |
|---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT On-Prem versión |
Device Event Class ID (Signature ID): |
109 |
Identificador único de la categoría de evento de dispositivo: •100–199 evento de amenaza •200–299 evento de cortafuegos •300–399 HIPS evento •400–499 evento de auditoría •500–599 ESET Inspect evento •600–699 evento de archivos bloqueados •700–799 evento de sitios web filtrados •Evento de incidente 800–899 |
Event Name |
Detected port scanning attack |
Una breve descripción de lo que ocurrió en el evento |
Severity |
5 |
Nivel de registro •2 – Información •3 – Aviso •5 – Advertencia •7 – Error •8 – Crítico •10 – Fatal |
Extensiones CEF comunes a todas las categorías
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
cat |
ESET Threat Event |
Categoría de evento: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
Dirección IPv4 del ordenador que genera el evento. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Dirección IPv6 del ordenador que genera el evento. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Nombre de cliente del ordenador con el suceso |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
UUID del ordenador que genera el evento. |
rt |
Jun 04 2017 14:10:0 |
Hora UTC en la que el evento tuvo lugar. El formato es %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
La ruta completa al grupo estático del ordenador que genera el evento. Si la ruta de acceso tiene más de 255 caracteres, ESETProtectDeviceGroupName solo contiene el nombre del grupo estático. |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
Información sobre el sistema operativo del ordenador. |
ESETProtectDeviceGroupDescription |
Lost & found static group |
Descripción del grupo estático. |
Extensiones CEF por categoría de evento
Eventos de amenaza
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
cs1 |
W97M/Kojer.A |
Nombre de la amenaza encontrada |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Versión del Motor de detección |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Tipo de detección |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
ID del escáner |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
ID del análisis |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Mensaje de error si la "acción" no se ha realizado correctamente |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Breve descripción de la causa del evento |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
Hash SHA1 de la secuencia de datos (detección). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
La acción la realizó el equipo |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Objeto URI |
fileType |
File |
Tipo de objeto relacionado con el evento |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Reiniciar es necesario (1) o no es necesario (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Nombre de la cuenta de usuario relacionada con el evento |
sprod |
C:\\7-Zip\\7z.exe |
El nombre del proceso de origen del evento |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
La hora y la fecha en las que se encontró la detección por primera vez en el equipo. El formato es %b %d %Y %H:%M:%S |
Ejemplo de registro de CEF de evento de amenaza:
Eventos de cortafuegos
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
msg |
TCP Port Scanning attack |
Nombre del evento |
src |
127.0.0.1 |
Dirección IPv4 del origen del evento |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Dirección IPv6 del origen del evento |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Puerto del origen del evento |
dst |
127.0.0.2 |
Dirección IPv4 del destino del evento |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Dirección IPv6 del destino del evento |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Puerto de destino del evento |
proto |
http |
Protocolo |
act |
Blocked |
Acción realizada |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Nombre de la cuenta de usuario relacionada con el evento |
deviceProcessName |
someApp.exe |
Nombre del proceso relacionado con el evento |
deviceDirection |
1 |
La conexión era entrante (0) o saliente (1) |
cnt |
3 |
El número de los mismos mensajes generados por el equipo entre dos replicaciones consecutivas entre ESET PROTECT On-Prem y ESET Management Agent |
cs1 |
|
ID de la regla |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nombre de la regla |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Nombre de la amenaza |
cs3Label |
Threat Name |
|
Ejemplo de registro de CEF de evento del cortafuegos:
HIPS sucesos
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
cs1 |
Suspicious attempt to launch an application |
ID de la regla |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nombre de la regla |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Nombre de la aplicación |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Operación |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Destino |
cs5Label |
Target |
|
act |
Blocked |
Acción realizada |
cs2 |
custom_rule_12 |
Nombre de la regla |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
cnt |
3 |
El número de los mismos mensajes generados por el equipo entre dos replicaciones consecutivas entre ESET PROTECT On-Prem y ESET Management Agent |
Ejemplo de registro de CEF de evento HIPS:
Eventos de auditoría
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
act |
Login attempt |
Acción que se está realizando |
suser |
Administrator |
Usuario de seguridad implicado |
duser |
Administrator |
Usuario de seguridad objetivo (por ejemplo, para intentos de inicio de sesión) |
msg |
Authenticating native user 'Administrator' |
Descripción detallada de la acción |
cs1 |
Native user |
Dominio del registro de auditoría |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Resultado de la acción |
cs2Label |
Result |
|
Ejemplo de registro de CEF de evento de auditoría:
ESET Inspect sucesos
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Nombre del proceso que provoca esta alarma |
suser |
HP\\home |
Propietario del proceso |
cs2 |
custom_rule_12 |
Nombre de la regla que activa esta alarma |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hash SHA1 de alarma |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Vínculo a la alarma en ESET Inspect On-Prem Web Console |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Subparte del identificador del vínculo de alarma ($1 en ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Nivel de gravedad del ordenador |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Nivel de gravedad de la regla |
cn2Label |
SeverityScore |
|
cnt |
3 |
El número de alertas del mismo tipo generadas desde la última alarma |
Ejemplo de registro de CEF de evento de ESET Inspect:
Eventos en archivos bloqueados
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
act |
Execution blocked |
Acción realizada |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Nombre de la cuenta de usuario relacionada con el evento |
deviceProcessName |
C:\\Windows\\explorer.exe |
Nombre del proceso relacionado con el evento |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hash SHA1 del archivo bloqueado |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Objeto URI |
msg |
ESET Inspect |
Descripción del archivo bloqueado |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
La hora y la fecha en las que se encontró la detección por primera vez en el equipo. El formato es %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Causa |
cs2Label |
Cause |
|
Ejemplo de registro de CEF de evento de archivos bloqueados:
Eventos de sitio web filtrados
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
msg |
An attempt to connect to URL |
Tipo de suceso |
act |
Blocked |
Acción realizada |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
user |
Peter |
Nombre de la cuenta de usuario relacionada con el evento |
deviceProcessName |
Firefox |
Nombre del proceso relacionado con el evento |
cs1 |
Blocked by PUA blacklist |
ID de la regla |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL de solicitud bloqueada |
dst |
172.17.9.224 |
Dirección IPv4 del destino del evento |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Dirección IPv6 del destino del evento |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
ID del escáner |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Hash SHA1 del objeto filtrado |
cs3Label |
Hash |
|