Ayuda en línea de ESET

Búsqueda Español (España)
Seleccione el tema

Eventos exportados a formato CEF

Para filtrar los registros de sucesos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido.

CEF es un formato de registro de texto desarrollado por ArcSight™. El CEF formato incluye un encabezado CEF y una extensión CEF. La extensión contiene una lista de pares clave-valor.

Encabezado CEF

Encabezado

Ejemplo

Descripción

Device Vendor

ESET

 

Device Product

ProtectCloud

 

Device Version

10.0.5.1

ESET PROTECT versión

Device Event Class ID (Signature ID):

109

Identificador único de la categoría de evento de dispositivo:

100–199 evento de amenaza

200–299 evento de cortafuegos

300–399 HIPS evento

400–499 evento de auditoría

500–599 ESET Inspect evento

600–699 evento de archivos bloqueados

700–799 evento de sitios web filtrados

Event Name

Detected port scanning attack

Una breve descripción de lo que ocurrió en el evento

Severity

5

Nivel de registro

2 – Información

3 – Aviso

5 – Advertencia

7 – Error

8 – Crítico

10 – Fatal

Extensiones CEF comunes a todas las categorías

Nombre de la extensión

Ejemplo

Descripción

cat

ESET Threat Event

Categoría de evento:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

Dirección IPv4 del ordenador que genera el evento.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Dirección IPv6 del ordenador que genera el evento.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Nombre de cliente del ordenador con el suceso

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID del ordenador que genera el evento.

rt

Jun 04 2017 14:10:0

Hora UTC en la que el evento tuvo lugar. El formato es %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

La ruta completa al grupo estático del ordenador que genera el evento. Si la ruta de acceso tiene más de 255 caracteres, ESETProtectDeviceGroupName solo contiene el nombre del grupo estático.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

Información sobre el sistema operativo del ordenador.

ESETProtectDeviceGroupDescription

Lost & found static group

Descripción del grupo estático.

Extensiones CEF por categoría de evento

Eventos de amenaza

Nombre de la extensión

Ejemplo

Descripción

cs1

W97M/Kojer.A

Nombre de la amenaza encontrada

cs1Label

Threat Name

 

cs2

25898 (20220909)

Versión del Motor de detección

cs2Label

Engine Version

 

cs3

Virus

Tipo de detección

cs3Label

Threat Type

 

cs4

Real-time

file system protection

ID del escáner

cs4Label

Scanner ID

 

cs5

virlog.dat

ID del análisis

cs5Label

Scan ID

 

cs6

Failed to remove file

Mensaje de error si la "acción" no se ha realizado correctamente

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Breve descripción de la causa del evento

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

Hash SHA1 de la secuencia de datos (detección).

cs8Label

Hash

 

act

Cleaned by deleting file

La acción la realizó el equipo

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Objeto URI

fileType

File

Tipo de objeto relacionado con el evento

cn1

1

La detección se gestionó (1) o no se gestionó (0)

cn1Label

Handled

 

cn2

0

Reiniciar es necesario (1) o no es necesario (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Nombre de la cuenta de usuario relacionada con el evento

sprod

C:\\7-Zip\\7z.exe

El nombre del proceso de origen del evento

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

La hora y la fecha en las que se encontró la detección por primera vez en el equipo. El formato es %b %d %Y %H:%M:%S

arrow_down_business Ejemplo de registro de CEF de evento de amenaza:

Eventos de cortafuegos

Nombre de la extensión

Ejemplo

Descripción

msg

TCP Port Scanning attack

Nombre del evento

src

127.0.0.1

Dirección IPv4 del origen del evento

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Dirección IPv6 del origen del evento

c6a2Label

Source IPv6 Address

 

spt

36324

Puerto del origen del evento

dst

127.0.0.2

Dirección IPv4 del destino del evento

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Dirección IPv6 del destino del evento

c6a3Label

Destination IPv6 Address

 

dpt

24

Puerto de destino del evento

proto

http

Protocolo

act

Blocked

Acción realizada

cn1

1

La detección se gestionó (1) o no se gestionó (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Nombre de la cuenta de usuario relacionada con el evento

deviceProcessName

someApp.exe

Nombre del proceso relacionado con el evento

deviceDirection

1

La conexión era entrante (0) o saliente (1)

cnt

3

El número de los mismos mensajes generados por el equipo entre dos replicaciones consecutivas entre ESET PROTECT y ESET Management Agent

cs1

 

ID de la regla

cs1Label

Rule ID

 

cs2

custom_rule_12

Nombre de la regla

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Nombre de la amenaza

cs3Label

Threat Name

 

arrow_down_business Ejemplo de registro de CEF de evento del cortafuegos:

HIPS sucesos

Nombre de la extensión

Ejemplo

Descripción

cs1

Suspicious attempt to launch an application

ID de la regla

cs1Label

Rule ID

 

cs2

custom_rule_12

Nombre de la regla

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Nombre de la aplicación

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Operación

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Destino

cs5Label

Target

 

act

Blocked

Acción realizada

cs2

custom_rule_12

Nombre de la regla

cn1

1

La detección se gestionó (1) o no se gestionó (0)

cn1Label

Handled

 

cnt

3

El número de los mismos mensajes generados por el equipo entre dos replicaciones consecutivas entre ESET PROTECT y ESET Management Agent

arrow_down_business Ejemplo de registro de CEF de evento HIPS:

Eventos de auditoría

Nombre de la extensión

Ejemplo

Descripción

act

Login attempt

Acción que se está realizando

suser

Administrator

Usuario de seguridad implicado

duser

Administrator

Usuario de seguridad objetivo (por ejemplo, para intentos de inicio de sesión)

msg

Authenticating native user 'Administrator'

Descripción detallada de la acción

cs1

Native user

Dominio del registro de auditoría

cs1Label

Audit Domain

 

cs2

Success

Resultado de la acción

cs2Label

Result

 

arrow_down_business Ejemplo de registro de CEF de evento de auditoría:

ESET Inspect sucesos

Nombre de la extensión

Ejemplo

Descripción

deviceProcessName

c:\\imagepath_bin.exe

Nombre del proceso que provoca esta alarma

suser

HP\\home

Propietario del proceso

cs2

custom_rule_12

Nombre de la regla que activa esta alarma

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hash SHA1 de alarma

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Vínculo a la alarma en ESET Inspect Web Console

cs4Label

EI Console Link

 

cs5

126

Subparte del identificador del vínculo de alarma ($1 en ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Nivel de gravedad del ordenador

cn1Label

ComputerSeverityScore

 

cn2

60

Nivel de gravedad de la regla

cn2Label

SeverityScore

 

cnt

3

El número de alertas del mismo tipo generadas desde la última alarma

arrow_down_business Ejemplo de registro de CEF de evento de ESET Inspect:

Eventos en archivos bloqueados

Nombre de la extensión

Ejemplo

Descripción

act

Execution blocked

Acción realizada

cn1

1

La detección se gestionó (1) o no se gestionó (0)

cn1Label

Handled

 

suser

HP\\home

Nombre de la cuenta de usuario relacionada con el evento

deviceProcessName

C:\\Windows\\explorer.exe

Nombre del proceso relacionado con el evento

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hash SHA1 del archivo bloqueado

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Objeto URI

msg

ESET Inspect

Descripción del archivo bloqueado

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

La hora y la fecha en las que se encontró la detección por primera vez en el equipo. El formato es %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Causa

cs2Label

Cause

 

arrow_down_business Ejemplo de registro de CEF de evento de archivos bloqueados:

Eventos de sitio web filtrados

Nombre de la extensión

Ejemplo

Descripción

msg

An attempt to connect to URL

Tipo de suceso

act

Blocked

Acción realizada

cn1

1

La detección se gestionó (1) o no se gestionó (0)

cn1Label

Handled

 

suser

Peter

Nombre de la cuenta de usuario relacionada con el evento

deviceProcessName

Firefox

Nombre del proceso relacionado con el evento

cs1

Blocked by PUA blacklist

ID de la regla

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL de solicitud bloqueada

dst

172.17.9.224

Dirección IPv4 del destino del evento

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Dirección IPv6 del destino del evento

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

ID del escáner

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Hash SHA1 del objeto filtrado

cs3Label

Hash

 

arrow_down_business Ejemplo de registro de CEF de evento de sitio web filtrado: