CEF biçimine aktarılan olaylar
Syslog'a gönderilen olay günlüklerini filtrelemek için Bildirim günlüğü kategorisinde bir filtre tanımlayın.
CEF, ArcSight tarafından geliştirilen metin tabanlı bir günlük biçimidir. CEF biçimi bir CEF üstbilgisi ile bir CEF uzantısından oluşur. Uzantı, anahtar-değer çiftlerinin bir listesini içerir.
CEF üstbilgisi
Üstbilgi |
Örnek |
Açıklama |
|---|---|---|
Device Vendor |
ESET |
|
Device Product |
Protect |
|
Device Version |
10.0.5.1 |
ESET PROTECT On-Prem sürüm |
Device Event Class ID (Signature ID): |
109 |
Cihaz Olay Kategorisi benzersiz tanıtıcı: •100–199 Tehdit olayı •200–299 Güvenlik duvarı olayı •300Olay •400–499 denetleme Olayı •500–599 ESET Inspect olay •600–699 Engellenen dosyalar olayı •700–799 Filtrelenmiş web siteleri olayı •800 –899 Olay etkinliği |
Event Name |
Detected port scanning attack |
Olayda neler olduğuyla ilgili kısa bir açıklama |
Severity |
5 |
Şiddet •2 – Bilgi •3 – Bildirim •5 – Uyarı •7 – Hata •8 – Kritik •10 – Önemli |
Tüm kategoriler için ortak olan CEF uzantıları
Uzantı adı |
Örnek |
Açıklama |
|---|---|---|
cat |
ESET Threat Event |
Olay kategorisi: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
Olayı oluşturan bilgisayarın IPv4 adresi. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Olayı oluşturan bilgisayarın IPv6 adresi. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Olaya sahip bilgisayarın ana bilgisayar adı |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
olayı oluşturan bilgisayarın UUID'si. |
rt |
Jun 04 2017 14:10:0 |
Olayın gerçekleştiği UTC saati. Biçim %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
Olayı oluşturan bilgisayarın statik grubuna ait yolun tamamı. Yol 255 karakterden uzunsa ESETProtectDeviceGroupName yalnızca statik grup adını içerir. |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
Bilgisayarın işletim sistemiyle ilgili bilgiler. |
ESETProtectDeviceGroupDescription |
Lost & found static group |
Statik grup açıklaması. |
Olay kategorisine göre CEF uzantıları
Tehdit olayları
Uzantı adı |
Örnek |
Açıklama |
|---|---|---|
cs1 |
W97M/Kojer.A |
Bulunan tehdit adı |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Algılama altyapısı sürümü |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Tespit türü |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
Tarayıcı kimliği |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
Tarama Kimliği |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
"İşlem" başarısız olursa hata iletisi |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Olaya neyin neden olduğuna dair kısa açıklama |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
(Algılama) veri akışının SHA1 karması. |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
Eylem uç nokta tarafından gerçekleştirildi |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Nesne URI |
fileType |
File |
Olayla ilgili nesne türü |
cn1 |
1 |
Tespit işlendi (1) veya işlenmedi (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Yeniden başlatma gerekli (1) veya gerekli değil (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Olayla ilişkilendirilen kullanıcı hesabının adı |
sprod |
C:\\7-Zip\\7z.exe |
Olay kaynağı işleminin adı |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Tespitin makinede ilk bulunduğu saat ve tarih. Biçim %b %d %Y %H:%M:%S |
Tehdit olayı CEF günlüğü örneği:
Güvenlik duvarı olayları
Uzantı adı |
Örnek |
Açıklama |
|---|---|---|
msg |
TCP Port Scanning attack |
Olay adı |
src |
127.0.0.1 |
Olay kaynağı IPv4 adresi |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Olay kaynağı IPv6 adresi |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Olay kaynağının bağlantı noktası |
dst |
127.0.0.2 |
Olay hedefi IPv4 adresi |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Olay hedefi IPv6 adresi |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Olay hedefi bağlantı noktası |
proto |
http |
Protokol |
act |
Blocked |
Gerçekleştirilen eylem |
cn1 |
1 |
Tespit işlendi (1) veya işlenmedi (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Olayla ilişkilendirilen kullanıcı hesabının adı |
deviceProcessName |
someApp.exe |
Olayla ilişkilendirilen işlemin adı |
deviceDirection |
1 |
Bağlantı gelen bağlantıydı (0) veya giden bağlantıydı (1) |
cnt |
3 |
ESET PROTECT On-Prem ve ESET Management Agent arasında arka arkaya iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı mesajların sayısı |
cs1 |
|
Kural Kimliği |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Kural adı |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Tehdit adı |
cs3Label |
Threat Name |
|
Güvenlik duvarı olayı CEF günlüğü örneği:
HIPS olaylar
Uzantı adı |
Örnek |
Açıklama |
|---|---|---|
cs1 |
Suspicious attempt to launch an application |
Kural Kimliği |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Kural adı |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Uygulama adı |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
İşlem |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Hedef |
cs5Label |
Target |
|
act |
Blocked |
Gerçekleştirilen eylem |
cs2 |
custom_rule_12 |
Kural adı |
cn1 |
1 |
Tespit işlendi (1) veya işlenmedi (0) |
cn1Label |
Handled |
|
cnt |
3 |
ESET PROTECT On-Prem ve ESET Management Agent arasında arka arkaya iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı mesajların sayısı |
Host Tabanlı Saldırı Önleme Sistemi (HIPS) olayı CEF günlüğü örneği:
Denetleme olayları
Uzantı adı |
Örnek |
Açıklama |
|---|---|---|
act |
Login attempt |
Eylem gerçekleştiriliyor |
suser |
Administrator |
Güvenlik kullanıcısı dahil |
duser |
Administrator |
Hedeflenen güvenlik kullanıcısı (örneğin, giriş denemeleri için) |
msg |
Authenticating native user 'Administrator' |
Eylemin ayrıntılı açıklaması |
cs1 |
Native user |
Denetleme günlüğü etki alanı |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Eylem sonucu |
cs2Label |
Result |
|
Denetim olayı CEF günlüğü örneği:
ESET Inspect olaylar
Uzantı adı |
Örnek |
Açıklama |
|---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Bu alarma neden olan işlemin adı |
suser |
HP\\home |
İşlem sahibi |
cs2 |
custom_rule_12 |
Bu alarmı tetikleyen kuralın adı |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Alarm SHA1 hash'i |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
ESET Inspect On-Prem Web Konsolu'daki alarma bağlantı |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Alarm bağlantısının kimlik alt bölümü (^http.*/alarm/([0-9]+)$ içindeki $1) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Bilgisayar önem derecesi puanı |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Kural önem derecesi puanı |
cn2Label |
SeverityScore |
|
cnt |
3 |
Son alarmdan bu yana oluşturulan aynı tür uyarıların sayısı |
ESET Inspect olayı CEF günlüğü örneği:
Engellenen dosya olayları
Uzantı adı |
Örnek |
Açıklama |
|---|---|---|
act |
Execution blocked |
Gerçekleştirilen eylem |
cn1 |
1 |
Tespit işlendi (1) veya işlenmedi (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Olayla ilişkilendirilen kullanıcı hesabının adı |
deviceProcessName |
C:\\Windows\\explorer.exe |
Olayla ilişkilendirilen işlemin adı |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Engellenen dosyanın SHA1 hash'i |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Nesne URI |
msg |
ESET Inspect |
Engellenen dosya açıklaması |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Tespitin makinede ilk bulunduğu saat ve tarih. Biçim %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Neden |
cs2Label |
Cause |
|
Engellenen dosyalar olayı CEF günlüğü örneği
Filtrelenmiş web sitesi olayları
Uzantı adı |
Örnek |
Açıklama |
|---|---|---|
msg |
An attempt to connect to URL |
Olay türü |
act |
Blocked |
Gerçekleştirilen eylem |
cn1 |
1 |
Tespit işlendi (1) veya işlenmedi (0) |
cn1Label |
Handled |
|
user |
Peter |
Olayla ilişkilendirilen kullanıcı hesabının adı |
deviceProcessName |
Firefox |
Olayla ilişkilendirilen işlemin adı |
cs1 |
Blocked by PUA blacklist |
Kural Kimliği |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
engellenen isteğin URL'si |
dst |
172.17.9.224 |
Olay hedefi IPv4 adresi |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Olay hedefi IPv6 adresi |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
Tarayıcı kimliği |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Filtre uygulanmış nesnenin SHA1 hash'i |
cs3Label |
Hash |
|