Eventos exportados a formato CEF

Para filtrar los registros de eventos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido.

CEF es un formato de registro basado en texto desarrollado por ArcSight™. El formato CEF incluye un CEF encabezado y una extensión CEF. La extensión contiene una lista de pares clave-valor.

Encabezado CEF

Encabezado

Ejemplo

Descripción

Device Vendor

ESET

 

Device Product

ProtectCloud

 

Device Version

10.0.5.1

ESET PROTECT Cloud versión

Device Event Class ID (Signature ID):

109

Identificador único de Categoría de evento del dispositivo:

100:199 casos de amenaza

200:299 eventos de firewall

300399 HIPS evento

400499 Evento de auditoría

500599 ESET Inspect evento

600:699 eventos de archivos bloqueados

700:799 eventos de sitios web filtrados

Event Name

Detected port scanning attack

Una breve descripción de lo que ocurrió en el evento

Severity

5

Gravedad 010

Extensiones CEF comunes para todas las categorías

Nombre de la extensión

Ejemplo

Descripción

cat

ESET Threat Event

Categoría de evento:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET InspectEvent

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

Dirección IPv4 del equipo que genera el evento.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Dirección IPv6 del equipo que genera el evento.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Nombre de host del equipo con el evento

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID del equipo que genera el evento.

flexString1

Lost & Found

El nombre de grupo del equipo que genera el evento

flexString1Label

Device Group Name

 

rt

Jun 04 2017 14:10:0

Hora UTC de la ocurrencia del evento. El formato es %b %d %Y %H:%M:%S

Extensiones CEF por categoría de eventos

Casos de amenaza

Nombre de la extensión

Ejemplo

Descripción

cs1

W97M/Kojer.A

Nombre de la amenaza encontrada

cs1Label

Threat Name

 

cs2

25898 (20220909)

Versión del motor de detección

cs2Label

Engine Version

 

cs3

Virus

Tipo de detección

cs3Label

Threat Type

 

cs4

Real-time

file system protection

ID de exploración

cs4Label

Scanner ID

 

cs5

virlog.dat

ID de exploración

cs5Label

Scan ID

 

cs6

Failed to remove file

Mensaje de error si la "acción" no se ha realizado correctamente

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Breve descripción de lo que causó el evento

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

Hash SHA1 del flujo de datos (de la detección).

cs8Label

Hash

 

act

Cleaned by deleting file

El punto de conexión tomó la acción

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Objeto URI

fileType

File

Tipo de objeto relacionado con el evento

cn1

1

La detección se gestionó (1) o no se gestionó (0)

cn1Label

Handled

 

cn2

0

Es necesario reiniciar (1) o no es necesario (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Nombre de la cuenta de usuario asociada con el evento

sprod

C:\\7-Zip\\7z.exe

El nombre del proceso de origen del evento

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

La hora y la fecha en las que se encontró la detección por primera vez en la máquina. El formato es %b %d %Y %H:%M:%S

arrow_down_business Casos de amenaza CEF ejemplo de registro:

Eventos de firewall

Nombre de la extensión

Ejemplo

Descripción

msg

TCP Port Scanning attack

Nombre del evento

src

127.0.0.1

Dirección IPv4 de origen del evento

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Dirección IPv6 de origen del evento

c6a2Label

Source IPv6 Address

 

spt

36324

Puerto de la fuente del evento

dst

127.0.0.2

Dirección IPv4 de destino del evento

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Dirección IPv6 de destino del evento

c6a3Label

Destination IPv6 Address

 

dpt

24

Puerto de destino del evento

proto

http

Protocolo

act

Blocked

Medida tomada

cn1

1

La detección se gestionó (1) o no se gestionó (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Nombre de la cuenta de usuario asociada con el evento

deviceProcessName

someApp.exe

Nombre del proceso asociado al evento

deviceDirection

1

La conexión era entrante (0) o saliente (1)

cnt

3

El número de los mismos mensajes generados por el punto de conexión entre dos replicaciones consecutivas entre ESET PROTECT Cloud y el agente de ESET Management

cs1

 

ID de la regla

cs1Label

Rule ID

 

cs2

custom_rule_12

Nombre de regla

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Nombre de amenaza

cs3Label

Threat Name

 

arrow_down_business Evento de firewall CEF ejemplo de registro:

HIPS sucesos

Nombre de la extensión

Ejemplo

Descripción

cs1

Suspicious attempt to launch an application

ID de la regla

cs1Label

Rule ID

 

cs2

custom_rule_12

Nombre de regla

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Nombre de la aplicación

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Operación

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Destino

cs5Label

Target

 

act

Blocked

Medida tomada

cs2

custom_rule_12

Nombre de regla

cn1

1

La detección se gestionó (1) o no se gestionó (0)

cn1Label

Handled

 

cnt

3

El número de los mismos mensajes generados por el punto de conexión entre dos replicaciones consecutivas entre ESET PROTECT Cloud y el agente de ESET Management

arrow_down_business HIPS evento CEF ejemplo de registro:

Eventos de auditoría

Nombre de la extensión

Ejemplo

Descripción

act

Login attempt

Acción que se lleva a cabo

suser

Administrator

Usuario de seguridad involucrado

duser

Administrator

Usuario de seguridad dirigido (por ejemplo, para intentos de inicio de sesión)

msg

Authenticating native user 'Administrator'

Una descripción detallada de la acción

cs1

Native user

Dominio de registro de auditoría

cs1Label

Audit Domain

 

cs2

Success

Resultado de la acción

cs2Label

Result

 

arrow_down_business Evento de auditoría CEF ejemplo de registro:

ESET Inspect sucesos

Nombre de la extensión

Ejemplo

Descripción

deviceProcessName

c:\\imagepath_bin.exe

Nombre del proceso que causa esta alarma

suser

HP\\home

Responsable del proceso

cs2

custom_rule_12

Nombre de la regla que desencadena esta alarma

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hash SHA1 de alarma

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Enlace a la alarma en la consola web de ESET Inspect

cs4Label

EI Console Link

 

cs5

126

Subparte del ID del enlace de la alarma ($1 en ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Nivel de gravedad del equipo

cn1Label

ComputerSeverityScore

 

cn2

60

Nivel de gravedad de la regla

cn2Label

SeverityScore

 

cnt

3

El número de alertas del mismo tipo generadas desde la última alarma

arrow_down_business ESET Inspectevento CEF ejemplo de registro:

Eventos de archivos bloqueados

Nombre de la extensión

Ejemplo

Descripción

act

Execution blocked

Medida tomada

cn1

1

La detección se gestionó (1) o no se gestionó (0)

cn1Label

Handled

 

suser

HP\\home

Nombre de la cuenta de usuario asociada con el evento

deviceProcessName

C:\\Windows\\explorer.exe

Nombre del proceso asociado al evento

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hash SHA1 del archivo bloqueado

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Objeto URI

msg

ESET Inspect

Descripción del archivo bloqueado

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

La hora y la fecha en las que se encontró la detección por primera vez en la máquina. El formato es %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Causa

cs2Label

Cause

 

arrow_down_business Evento de archivos bloqueados CEF ejemplo de registro:

Eventos de sitios web filtrados

Nombre de la extensión

Ejemplo

Descripción

msg

An attempt to connect to URL

Tipo de evento

act

Blocked

Medida tomada

cn1

1

La detección se gestionó (1) o no se gestionó (0)

cn1Label

Handled

 

suser

Peter

Nombre de la cuenta de usuario asociada con el evento

deviceProcessName

Firefox

Nombre del proceso asociado al evento

cs1

Blocked by PUA blacklist

ID de la regla

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL de solicitud bloqueada

dst

172.17.9.224

Dirección IPv4 de destino del evento

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Dirección IPv6 de destino del evento

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

ID de exploración

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Hash SHA1 del objeto filtrado

cs3Label

Hash

 

arrow_down_business Evento de sitios web filtrados CEF ejemplo de registro: