CEF biçimine aktarılan olaylar

Geçerli makale URL'sini kopyala E-posta ile paylaş

Syslog'a gönderilen olay günlüklerini filtrelemek için tanımlanan bir filtreyle bir günlük kategorisi bildirimi oluşturun.

CEF, ArcSight™ tarafından geliştirilen metin tabanlı bir günlük biçimidir. CEF biçimi bir CEF üstbilgisi ile bir CEF uzantısından oluşur. Uzantı, anahtar-değer çiftlerinin bir listesini içerir.

CEF üstbilgisi

Üstbilgi	Örnek	Açıklama
Device Vendor	ESET
Device Product	Protect
Device Version	10.0.5.1	ESET PROTECT On-Prem sürüm
Device Event Class ID (Signature ID):	109	Cihaz Olay Kategorisi benzersiz tanıtıcı: •100–199 Tehdit olayı •200–299 Güvenlik duvarı olayı •300Olay •400–499 denetleme Olayı •500–599 ESET Inspect olay •600–699 Engellenen dosyalar olayı •700–799 Filtrelenmiş web siteleri olayı •800 –899 Olay etkinliği
Event Name	Detected port scanning attack	Olayda neler olduğuyla ilgili kısa bir açıklama
Severity	5	Şiddet •2 – Bilgi •3 – Bildirim •5 – Uyarı •7 – Hata •8 – Kritik •10 – Önemli

Tüm kategoriler için ortak olan CEF uzantıları

Uzantı adı	Örnek	Açıklama
cat	ESET Threat Event	Olay kategorisi: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	Olayı oluşturan bilgisayarın IPv4 adresi.
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Olayı oluşturan bilgisayarın IPv6 adresi.
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	Olaya sahip bilgisayarın ana bilgisayar adı
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	olayı oluşturan bilgisayarın UUID'si.
rt	Jun 04 2017 14:10:0	Olayın gerçekleştiği UTC saati. Biçim %b %d %Y %H:%M:%S
ESETProtectDeviceGroupName	All/Lost & found	Olayı oluşturan bilgisayarın statik grubuna ait yolun tamamı. Yol 255 karakterden uzunsa ESETProtectDeviceGroupName yalnızca statik grup adını içerir.
ESETProtectDeviceOsName	Microsoft Windows 11 Pro	Bilgisayarın işletim sistemiyle ilgili bilgiler.
ESETProtectDeviceGroupDescription	Lost & found static group	Statik grup açıklaması.

Olay kategorisine göre CEF uzantıları

Tehdit olayları

Uzantı adı	Örnek	Açıklama
cs1	W97M/Kojer.A	Bulunan tehdit adı
cs1Label	Threat Name
cs2	25898 (20220909)	Algılama altyapısı sürümü
cs2Label	Engine Version
cs3	Virus	Tespit türü
cs3Label	Threat Type
cs4	Real-time file system protection	Tarayıcı kimliği
cs4Label	Scanner ID
cs5	virlog.dat	Tarama Kimliği
cs5Label	Scan ID
cs6	Failed to remove file	"İşlem" başarısız olursa hata iletisi
cs6Label	Action Error
cs7	Event occurred on a newly created file	Olaya neyin neden olduğuna dair kısa açıklama
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	(Algılama) veri akışının SHA1 karması.
cs8Label	Hash
act	Cleaned by deleting file	Eylem uç nokta tarafından gerçekleştirildi
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	Nesne URI
fileType	File	Olayla ilgili nesne türü
cn1	1	Tespit işlendi (1) veya işlenmedi (0)
cn1Label	Handled
cn2	0	Yeniden başlatma gerekli (1) veya gerekli değil (0)
cn2Label	Restart Needed
suser	172-MG\\Administrator	Olayla ilişkilendirilen kullanıcı hesabının adı
sprod	C:\\7-Zip\\7z.exe	Olay kaynağı işleminin adı
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Tespitin makinede ilk bulunduğu saat ve tarih. Biçim %b %d %Y %H:%M:%S

Tehdit olayı CEF günlüğü örneği:

Güvenlik duvarı olayları

Uzantı adı	Örnek	Açıklama
msg	TCP Port Scanning attack	Olay adı
src	127.0.0.1	Olay kaynağı IPv4 adresi
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Olay kaynağı IPv6 adresi
c6a2Label	Source IPv6 Address
spt	36324	Olay kaynağının bağlantı noktası
dst	127.0.0.2	Olay hedefi IPv4 adresi
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Olay hedefi IPv6 adresi
c6a3Label	Destination IPv6 Address
dpt	24	Olay hedefi bağlantı noktası
proto	http	Protokol
act	Blocked	Gerçekleştirilen eylem
cn1	1	Tespit işlendi (1) veya işlenmedi (0)
cn1Label	Handled
suser	172-MG\\Administrator	Olayla ilişkilendirilen kullanıcı hesabının adı
deviceProcessName	someApp.exe	Olayla ilişkilendirilen işlemin adı
deviceDirection	1	Bağlantı gelen bağlantıydı (0) veya giden bağlantıydı (1)
cnt	3	ESET PROTECT On-Prem ve ESET Management Agent arasında arka arkaya iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı mesajların sayısı
cs1		Kural Kimliği
cs1Label	Rule ID
cs2	custom_rule_12	Kural adı
cs2Label	Rule Name
cs3	Win32/Botnet.generic	Tehdit adı
cs3Label	Threat Name

Güvenlik duvarı olayı CEF günlüğü örneği:

HIPS olaylar

Uzantı adı	Örnek	Açıklama
cs1	Suspicious attempt to launch an application	Kural Kimliği
cs1Label	Rule ID
cs2	custom_rule_12	Kural adı
cs2Label	Rule Name
cs3	C:\\someapp.exe	Uygulama adı
cs3Label	Application
cs4	Attempt to run a suspicious object	İşlem
cs4Label	Operation
cs5	C:\\somevirus.exe	Hedef
cs5Label	Target
act	Blocked	Gerçekleştirilen eylem
cs2	custom_rule_12	Kural adı
cn1	1	Tespit işlendi (1) veya işlenmedi (0)
cn1Label	Handled
cnt	3	ESET PROTECT On-Prem ve ESET Management Agent arasında arka arkaya iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı mesajların sayısı

Host Tabanlı Saldırı Önleme Sistemi (HIPS) olayı CEF günlüğü örneği:

Denetleme olayları

Uzantı adı	Örnek	Açıklama
act	Login attempt	Eylem gerçekleştiriliyor
suser	Administrator	Güvenlik kullanıcısı dahil
duser	Administrator	Hedeflenen güvenlik kullanıcısı (örneğin, giriş denemeleri için)
msg	Authenticating native user 'Administrator'	Eylemin ayrıntılı açıklaması
cs1	Native user	Denetleme günlüğü etki alanı
cs1Label	Audit Domain
cs2	Success	Eylem sonucu
cs2Label	Result

Denetim olayı CEF günlüğü örneği:

ESET Inspect olaylar

Uzantı adı	Örnek	Açıklama
deviceProcessName	c:\\imagepath_bin.exe	Bu alarma neden olan işlemin adı
suser	HP\\home	İşlem sahibi
cs2	custom_rule_12	Bu alarmı tetikleyen kuralın adı
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Alarm SHA1 hash'i
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	ESET Inspect On-Prem Web Konsolu'daki alarma bağlantı
cs4Label	EI Console Link
cs5	126	Alarm bağlantısının kimlik alt bölümü (^http.*/alarm/([0-9]+)$ içindeki $1)
cs5Label	EI Alarm ID
cn1	275	Bilgisayar önem derecesi puanı
cn1Label	ComputerSeverityScore
cn2	60	Kural önem derecesi puanı
cn2Label	SeverityScore
cnt	3	Son alarmdan bu yana oluşturulan aynı tür uyarıların sayısı

ESET Inspect olayı CEF günlüğü örneği:

Engellenen dosya olayları

Uzantı adı	Örnek	Açıklama
act	Execution blocked	Gerçekleştirilen eylem
cn1	1	Tespit işlendi (1) veya işlenmedi (0)
cn1Label	Handled
suser	HP\\home	Olayla ilişkilendirilen kullanıcı hesabının adı
deviceProcessName	C:\\Windows\\explorer.exe	Olayla ilişkilendirilen işlemin adı
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Engellenen dosyanın SHA1 hash'i
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	Nesne URI
msg	ESET Inspect	Engellenen dosya açıklaması
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Tespitin makinede ilk bulunduğu saat ve tarih. Biçim %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	Neden
cs2Label	Cause

Engellenen dosyalar olayı CEF günlüğü örneği:

Filtrelenmiş web sitesi olayları

Uzantı adı	Örnek	Açıklama
msg	An attempt to connect to URL	Olay türü
act	Blocked	Gerçekleştirilen eylem
cn1	1	Tespit işlendi (1) veya işlenmedi (0)
cn1Label	Handled
user	Peter	Olayla ilişkilendirilen kullanıcı hesabının adı
deviceProcessName	Firefox	Olayla ilişkilendirilen işlemin adı
cs1	Blocked by PUA blacklist	Kural Kimliği
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	engellenen isteğin URL'si
dst	172.17.9.224	Olay hedefi IPv4 adresi
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Olay hedefi IPv6 adresi
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	Tarayıcı kimliği
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	Filtre uygulanmış nesnenin SHA1 hash'i
cs3Label	Hash

Filtrelenmiş web sitesi olayı CEF günlüğü örneği:

˄˅