ESET Online nápověda

Hledat Čeština
Vyberte kategorii
Změnit kapitolu

Události exportované do CEF formátu

Pokud chcete na Syslog server zasílat pouze některé události, vytvořit si oznámení s vámi požadovaným filtrem.

CEF je textový formát protokolu vyvinutý společností ArcSight™. Zpráva ve formátu CEF se skládá z CEF hlavičky a CEF rozšíření. Rozšíření obsahuje seznam párů klíč-hodnota.

CEF hlavička

Hlavička

Příklad

Popis

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

Verze ESET PROTECT On-Prem

Device Event Class ID (Signature ID):

109

Unikátní identifikátor kategorie události na zařízení:

100-199 Detekce hrozby

200-299 Událost firewallu

300-399 HIPS událost

400–499 Záznam z audit logu

500-599 ESET Inspect událost

600-699 Blokované soubory

700-799 Filtrované webové stránky

Event Name

Detected port scanning attack

Popis s informací, co způsobilo událost

Severity

5

Zaznamenávat od úrovně:

2 – Informační

3 – Oznámení

5 – Varování!

7 – Chyba

8 – Kritická

10 – Fatální

CEF rozšíření společné pro všechny kategorie

Název rozšíření

Příklad

Popis

cat

ESET Threat Event

Kategorie události:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

IPv4 adresa počítače, který vygeneroval událost

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6 adresa počítače, který vygeneroval událost

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Název počítače, který vygeneroval událost

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID počítače, který vygeneroval událost

rt

Jun 04 2017 14:10:0

Čas v UTC formátu, kdy událost vznikla. Formát je %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

Statická skupina, ve které se nachází počítač, který vygeneroval událost. Pokud je cesta delší než 255 znaků, bude obsahovat ESETProtectDeviceGroupName pouze název statické skupiny.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

Informace o operačním systému počítače.

ESETProtectDeviceGroupDescription

Lost & found static group

Popis statické skupiny.

CEF rozšíření podle kategorie

Detekce hrozby

Název rozšíření

Příklad

Popis

cs1

W97M/Kojer.A

Název nalezené hrozby

cs1Label

Threat Name

 

cs2

25898 (20220909)

Verze detekčního jádra

cs2Label

Engine Version

 

cs3

Virus

Typ detekce

cs3Label

Threat Type

 

cs4

Real-time

file system protection

ID skeneru

cs4Label

Scanner ID

 

cs5

virlog.dat

ID kontroly

cs5Label

Scan ID

 

cs6

Failed to remove file

Chybová zpráva v případě, že se "akci" nepodařilo úspěšně provést

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Krátký popis s informací, co způsobilo událost

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

SHA1 kontrolní součet (detekce) data streamu.

cs8Label

Hash

 

act

Cleaned by deleting file

Provedená akce s objektem

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

URI objektu

fileType

File

Typ objektu související s událostí

cn1

1

Detekce byla zpracována (1) nebo nebyla zpracována (0)

cn1Label

Handled

 

cn2

0

Vyžadován restart (1) nebo není vyžadován restart (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Název uživatelského účtu spojeného s touto událostí

sprod

C:\\7-Zip\\7z.exe

Název procesu zdroje události

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Datum a čas první detekce na zařízení. Formát je %b %d %Y %H:%M:%S

arrow_down_business Příklad protokolu o zachycených hrozbách ve formátu CEF:

Události firewallu

Název rozšíření

Příklad

Popis

msg

TCP Port Scanning attack

Název události

src

127.0.0.1

IPv4 adresa zdroje události

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6 adresa zdroje události

c6a2Label

Source IPv6 Address

 

spt

36324

Port zdroje události

dst

127.0.0.2

IPv4 adresa cíle události

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

IPv6 adresa cíle události

c6a3Label

Destination IPv6 Address

 

dpt

24

Cílový port události

proto

http

Protokol

act

Blocked

Akce

cn1

1

Detekce byla zpracována (1) nebo nebyla zpracována (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Název uživatelského účtu spojeného s touto událostí

deviceProcessName

someApp.exe

Název procesu spojeného s touto událostí

deviceDirection

1

Informace, zda se jednalo o příchozí (0) nebo odchozí spojení (1)

cnt

3

Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET Management Agenta na ESET PROTECT On-Prem.

cs1

 

ID pravidla

cs1Label

Rule ID

 

cs2

custom_rule_12

Název pravidla

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Název hrozby

cs3Label

Threat Name

 

arrow_down_business Příklad protokolu o událostech firewallu ve formátu CEF:

HIPS události

Název rozšíření

Příklad

Popis

cs1

Suspicious attempt to launch an application

ID pravidla

cs1Label

Rule ID

 

cs2

custom_rule_12

Název pravidla

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Název aplikace

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Operace

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Cíl

cs5Label

Target

 

act

Blocked

Akce

cs2

custom_rule_12

Název pravidla

cn1

1

Detekce byla zpracována (1) nebo nebyla zpracována (0)

cn1Label

Handled

 

cnt

3

Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET Management Agenta na ESET PROTECT On-Prem.

arrow_down_business Příklad protokolu o událostech HIPS ve formátu CEF:

Záznamy z audit logu

Název rozšíření

Příklad

Popis

act

Login attempt

Akce

suser

Administrator

Uživatel, který akci provádí

duser

Administrator

Cílový uživatel zabezpečení (například při pokusech o přihlášení)

msg

Authenticating native user 'Administrator'

Detailní popis akce

cs1

Native user

Doména

cs1Label

Audit Domain

 

cs2

Success

Výsledek akce

cs2Label

Result

 

arrow_down_business Příklad protokolu auditu ve formátu CEF:

ESET Inspect události

Název rozšíření

Příklad

Popis

deviceProcessName

c:\\imagepath_bin.exe

Název procesu, který způsobil tento alarm

suser

HP\\home

Vlastník procesu

cs2

custom_rule_12

Název pravidla, které aktivovalo tento alarm

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

SHA-1 kontrolní součet alarmu

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Odkaz na alarm do ESET Inspect On-Prem Web Console

cs4Label

EI Console Link

 

cs5

126

ID části odkazu alarmu ($1 v ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Úroveň závažnosti počítače

cn1Label

ComputerSeverityScore

 

cn2

60

Skóre závažnosti pravidla

cn2Label

SeverityScore

 

cnt

3

Počet oznámení, vygenerovaných tímto typem, od posledního alarmu

arrow_down_business Příklad protokolu události v ESET Inspect ve formátu CEF:

Blokované soubory

Název rozšíření

Příklad

Popis

act

Execution blocked

Akce

cn1

1

Detekce byla zpracována (1) nebo nebyla zpracována (0)

cn1Label

Handled

 

suser

HP\\home

Název uživatelského účtu spojeného s touto událostí

deviceProcessName

C:\\Windows\\explorer.exe

Název procesu spojeného s touto událostí

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

SHA-1 kontrolní součet blokovaného souboru

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

URI objektu

msg

ESET Inspect

Popis zablokovaného souboru

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Datum a čas první detekce na zařízení. Formát je %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Příčina

cs2Label

Cause

 

arrow_down_business Příklad protokolu o blokovaných souborech ve formátu CEF:

Filtrované webové stránky

Název rozšíření

Příklad

Popis

msg

An attempt to connect to URL

Typ události

act

Blocked

Akce

cn1

1

Detekce byla zpracována (1) nebo nebyla zpracována (0)

cn1Label

Handled

 

suser

Peter

Název uživatelského účtu spojeného s touto událostí

deviceProcessName

Firefox

Název procesu spojeného s touto událostí

cs1

Blocked by PUA blacklist

ID pravidla

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL zablokovaného požadavku

dst

172.17.9.224

IPv4 adresa cíle události

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

IPv6 adresa cíle události

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

ID skeneru

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

SHA1 hash filtrovaného objektu

cs3Label

Hash

 

arrow_down_business Příklad protokolu o filtrovaných webových stránkách ve formátu CEF: