تعليمات ESET عبر الإنترنت

البحث العربية
تحديد الموضوع

الأحداث المصدرة إلى تنسيق CEF

لتصفية سجلات الأحداث المرسلة إلى Syslog، أنشئ إعلام بفئة السجل باستخدام عامل تصفية محدد.

CEF هو تنسيق سجل قائم على النص تم تطويره من قبل ArcSight™. يتضمن تنسيق CEF رأس CEF وملحق CEF. يحتوي الملحق على قائمة أزواج القيم الرئيسية.

رأس CEF

رأس

مثال

الوصف

Device Vendor

ESET

 

Device Product

ProtectCloud

 

Device Version

10.0.5.1

الأحدث ESET PROTECT

Device Event Class ID (Signature ID):

109

المعرّف الفريد لفئة أحداث الجهاز:

  • 100–199 حدث تهديد
  • 200–299 حدث جدار حماية
  • 300–399 HIPS الحدث
  • حدث التدقيق 400–499
  • 500–599 ESET Inspect الحدث
  • 600–699 حدث ملفات محظورة
  • 700–799 حدث مواقع تمت تصفيتها

Event Name

Detected port scanning attack

وصف موجز لما حدث في الحدث

Severity

5

الخطورة:

  • 2–معلومات
  • 3–ملاحظة
  • 5–تحذير
  • 7–خطأ
  • 8–حرج
  • 10–‏‏فادح

ملحقات CEF الشائعة لجميع الفئات

اسم الملحق

مثال

الوصف

cat

ESET Threat Event

فئة الحدث:

  • ESET Threat Event
  • ESET Firewall Event
  • ESET HIPS Event
  • ESET RA Audit Event
  • ESET Inspect Event
  • ESET Blocked File Event
  • ESET Filtered Website Event

dvc

10.0.12.59

عنوان IPv4 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

عنوان IPv6 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

اسم المضيف لجهاز الكمبيوتر مع الحدث

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث.

rt

Jun 04 2017 14:10:0

توقيت UTC لحدوث الحدث. التنسيق هو %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

المسار الكامل للمجموعة الثابتة لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. إذا كان المسار أطول من 255 حرفاً، فلا يحتوي ESETProtectDeviceGroupName إلا على اسم المجموعة الثابتة.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

معلومات حول نظام تشغيل الكمبيوتر.

ESETProtectDeviceGroupDescription

Lost & found static group

وصف المجموعة الثابتة.

ملحقات CEF حسب فئة الحدث

أحداث التهديد

اسم الملحق

مثال

الوصف

cs1

W97M/Kojer.A

تم العثور على اسم التهديد

cs1Label

Threat Name

 

cs2

25898 (20220909)

إصدار محرك الكشف

cs2Label

Engine Version

 

cs3

Virus

نوع الاكتشاف

cs3Label

Threat Type

 

cs4

Real-time

file system protection

مُعرّف الماسح

cs4Label

Scanner ID

 

cs5

virlog.dat

مُعرّف المسح

cs5Label

Scan ID

 

cs6

Failed to remove file

رسالة خطأ تظهر إذا لم يكن "الإجراء" ناجحاً

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

وصف مختصر لسبب الحدث

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

SHA1 مزيج دفق البيانات (الاكتشاف)

cs8Label

Hash

 

act

Cleaned by deleting file

تم اتخاذ الإجراء من قبل نقطة النهاية

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

الكائن URI

fileType

File

نوع الكائن المرتبط بالحدث

cn1

1

تمت معالجة الاكتشاف (1) أو لم تتم معالجته (0)

cn1Label

Handled

 

cn2

0

إعادة التشغيل مطلوبة (1) أو غير مطلوبة (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

اسم حساب المستخدم المرتبط بالحدث

sprod

C:\\7-Zip\\7z.exe

اسم عملية مصدر الحدث

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

الوقت والتاريخ الذي تم فيه العثور على الاكتشاف لأول مرة على الجهاز. التنسيق هو %b %d %Y %H:%M:%S

arrow_down_business مثال على سجل CEF لحدث التهديد:

أحداث جدار الحماية

اسم الملحق

مثال

الوصف

msg

TCP Port Scanning attack

اسم الحدث

src

127.0.0.1

عنوان IPv4 لمصدر الحدث

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

عنوان IPv6 لمصدر الحدث

c6a2Label

Source IPv6 Address

 

spt

36324

منفذ مصدر الحدث

dst

127.0.0.2

عنوان IPv4 لوجهة الحدث

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

عنوان IPv6 لوجهة الحدث

c6a3Label

Destination IPv6 Address

 

dpt

24

منفذ وجهة الحدث

proto

http

البروتوكول

act

Blocked

تم الإجراء

cn1

1

تمت معالجة الاكتشاف (1) أو لم تتم معالجته (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

اسم حساب المستخدم المرتبط بالحدث

deviceProcessName

someApp.exe

اسم العملية المرتبطة بالحدث

deviceDirection

1

كان الاتصال وارداً (0) أو صادراً (1)

cnt

3

عدد الرسائل نفسها التي تم إنشاؤها من قبل نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين ESET PROTECT وعامل ESET Management

cs1

 

مُعرّف القاعدة

cs1Label

Rule ID

 

cs2

custom_rule_12

اسم القاعدة

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

اسم التهديد

cs3Label

Threat Name

 

arrow_down_business مثال على سجل CEF لحدث جدار الحماية:

HIPS أحداث

اسم الملحق

مثال

الوصف

cs1

Suspicious attempt to launch an application

مُعرّف القاعدة

cs1Label

Rule ID

 

cs2

custom_rule_12

اسم القاعدة

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

اسم التطبيق

cs3Label

Application

 

cs4

Attempt to run a suspicious object

التشغيل

cs4Label

Operation

 

cs5

C:\\somevirus.exe

الهدف

cs5Label

Target

 

act

Blocked

تم الإجراء

cs2

custom_rule_12

اسم القاعدة

cn1

1

تمت معالجة الاكتشاف (1) أو لم تتم معالجته (0)

cn1Label

Handled

 

cnt

3

عدد الرسائل نفسها التي تم إنشاؤها من قبل نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين ESET PROTECT وعامل ESET Management

arrow_down_business مثال على سجل CEF لحدث نظام منع اختراق المضيف:

الأحداث التدقيق

اسم الملحق

مثال

الوصف

act

Login attempt

يتم اتخاذ الإجراء

suser

Administrator

مستخدم الأمان متضمن

duser

Administrator

مستخدم الأمان المستهدف (على سبيل المثال، من أجل محاولات تسجيل الدخول)

msg

Authenticating native user 'Administrator'

وصف مفصل للإجراء

cs1

Native user

مجال سجل التدقيق

cs1Label

Audit Domain

 

cs2

Success

نتيجة الإجراء

cs2Label

Result

 

arrow_down_business مثال على سجل CEF لحدث التدقيق:

ESET Inspect أحداث

اسم الملحق

مثال

الوصف

deviceProcessName

c:\\imagepath_bin.exe

اسم العملية التي تسبب هذا الإنذار

suser

HP\\home

مالك العملية

cs2

custom_rule_12

اسم القاعدة التي تشغل هذا الإنذار

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

مزيج SHA1 للتنبيه

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

رابط إلى التنبيه في وحدة التحكم على شبكة الإنترنت لـ ESET Inspect

cs4Label

EI Console Link

 

cs5

126

معرف الجزء الفرعي لرابط الإنذار ($1 في ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

درجة خطورة جهاز الكمبيوتر

cn1Label

ComputerSeverityScore

 

cn2

60

درجة خطورة القاعدة

cn2Label

SeverityScore

 

cnt

3

عدد التنبيهات من نفس النوع التي تم إنشاؤها منذ التنبيه الأخير

arrow_down_business مثال على سجل CEF لحدث ESET Inspect:

أحداث الملفات المحظورة

اسم الملحق

مثال

الوصف

act

Execution blocked

تم الإجراء

cn1

1

تمت معالجة الاكتشاف (1) أو لم تتم معالجته (0)

cn1Label

Handled

 

suser

HP\\home

اسم حساب المستخدم المرتبط بالحدث

deviceProcessName

C:\\Windows\\explorer.exe

اسم العملية المرتبطة بالحدث

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

SHA1 تجزئة الملف المحظور

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

الكائن URI

msg

ESET Inspect

وصف الملف المحظور

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

الوقت والتاريخ الذي تم فيه العثور على الاكتشاف لأول مرة على الجهاز. التنسيق هو %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

السبب

cs2Label

Cause

 

arrow_down_business مثال على سجل CEF لحدث الملفات المحظورة:

أحداث موقع الويب التي تمت تصفيتها

اسم الملحق

مثال

الوصف

msg

An attempt to connect to URL

نوع الحدث

act

Blocked

تم الإجراء

cn1

1

تمت معالجة الاكتشاف (1) أو لم تتم معالجته (0)

cn1Label

Handled

 

suser

Peter

اسم حساب المستخدم المرتبط بالحدث

deviceProcessName

Firefox

اسم العملية المرتبطة بالحدث

cs1

Blocked by PUA blacklist

مُعرّف القاعدة

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

عنوان URL للطلب المحظور

dst

172.17.9.224

عنوان IPv4 لوجهة الحدث

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

عنوان IPv6 لوجهة الحدث

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

مُعرّف الماسح

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

SHA1 تجزئة الكائن الذي تمت تصفيته

cs3Label

Hash

 

arrow_down_business مثال على سجل CEF لحدث موقع الويب الذي تمت تصفيته: