Eventos exportados a formato CEF
Para filtrar los registros de sucesos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido.
CEF es un formato de registro de texto desarrollado por ArcSight™. El CEF formato incluye un encabezado CEF y una extensión CEF. La extensión contiene una lista de pares clave-valor.
Encabezado CEF
Encabezado |
Ejemplo |
Descripción |
|---|---|---|
Device Vendor |
ESET |
|
Device Product |
ProtectCloud |
|
Device Version |
10.0.5.1 |
ESET PROTECT versión |
Device Event Class ID (Signature ID): |
109 |
Identificador único de la categoría de evento de dispositivo: •100–199 evento de amenaza •200–299 evento de cortafuegos •300–399 HIPS evento •400–499 evento de auditoría •500–599 ESET Inspect evento •600–699 evento de archivos bloqueados •700–799 evento de sitios web filtrados •Evento de incidente 800–899 |
Event Name |
Detected port scanning attack |
Una breve descripción de lo que ocurrió en el evento |
Severity |
5 |
Nivel de registro •2 – Información •3 – Aviso •5 – Advertencia •7 – Error •8 – Crítico •10 – Fatal |
Extensiones CEF comunes a todas las categorías
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
cat |
ESET Threat Event |
Categoría de evento: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
Dirección IPv4 del ordenador que genera el evento. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Dirección IPv6 del ordenador que genera el evento. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Nombre de cliente del ordenador con el suceso |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
UUID del ordenador que genera el evento. |
rt |
Jun 04 2017 14:10:0 |
Hora UTC en la que el evento tuvo lugar. El formato es %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
La ruta completa al grupo estático del ordenador que genera el evento. Si la ruta de acceso tiene más de 255 caracteres, ESETProtectDeviceGroupName solo contiene el nombre del grupo estático. |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
Información sobre el sistema operativo del ordenador. |
ESETProtectDeviceGroupDescription |
Lost & found static group |
Descripción del grupo estático. |
Extensiones CEF por categoría de evento
Eventos de amenaza
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
cs1 |
W97M/Kojer.A |
Nombre de la amenaza encontrada |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Versión del Motor de detección |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Tipo de detección |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
ID del escáner |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
ID del análisis |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
Mensaje de error si la "acción" no se ha realizado correctamente |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Breve descripción de la causa del evento |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
Hash SHA1 de la secuencia de datos (detección). |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
La acción la realizó el equipo |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Objeto URI |
fileType |
File |
Tipo de objeto relacionado con el evento |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Reiniciar es necesario (1) o no es necesario (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Nombre de la cuenta de usuario relacionada con el evento |
sprod |
C:\\7-Zip\\7z.exe |
El nombre del proceso de origen del evento |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
La hora y la fecha en las que se encontró la detección por primera vez en el equipo. El formato es %b %d %Y %H:%M:%S |
ESETProtectDetectionUuid |
4a1e0af2-ed5f-42cb-bb29-eee2600d57c7 |
El identificador único de una detección se puede utilizar para consultar detalles mediante ESET CONNECT API |
Ejemplo de registro de CEF de evento de amenaza:
Eventos de cortafuegos
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
msg |
TCP Port Scanning attack |
Nombre del evento |
src |
127.0.0.1 |
Dirección IPv4 del origen del evento |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Dirección IPv6 del origen del evento |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Puerto del origen del evento |
dst |
127.0.0.2 |
Dirección IPv4 del destino del evento |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Dirección IPv6 del destino del evento |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Puerto de destino del evento |
proto |
http |
Protocolo |
act |
Blocked |
Acción realizada |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Nombre de la cuenta de usuario relacionada con el evento |
deviceProcessName |
someApp.exe |
Nombre del proceso relacionado con el evento |
deviceDirection |
1 |
La conexión era entrante (0) o saliente (1) |
cnt |
3 |
El número de los mismos mensajes generados por el equipo entre dos replicaciones consecutivas entre ESET PROTECT y ESET Management Agent |
cs1 |
|
ID de la regla |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nombre de la regla |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Nombre de la amenaza |
cs3Label |
Threat Name |
|
ESETProtectDetectionUuid |
ffd50742-cb15-4c7a-9409-c597c4dc512b |
El identificador único de una detección se puede utilizar para consultar detalles mediante ESET CONNECT API |
Ejemplo de registro de CEF de evento del cortafuegos
HIPS sucesos
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
cs1 |
Suspicious attempt to launch an application |
ID de la regla |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Nombre de la regla |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Nombre de la aplicación |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
Operación |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Destino |
cs5Label |
Target |
|
act |
Blocked |
Acción realizada |
cs2 |
custom_rule_12 |
Nombre de la regla |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
cnt |
3 |
El número de los mismos mensajes generados por el equipo entre dos replicaciones consecutivas entre ESET PROTECT y ESET Management Agent |
ESETProtectDetectionUuid |
bf84a564-ac25-4c87-b72f-0031592d2a2d |
El identificador único de una detección se puede utilizar para consultar detalles mediante ESET CONNECT API |
Ejemplo de registro de CEF de evento HIPS
Eventos de auditoría
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
act |
Login attempt |
Acción que se está realizando |
suser |
Administrator |
Usuario de seguridad implicado |
duser |
Administrator |
Usuario de seguridad objetivo (por ejemplo, para intentos de inicio de sesión) |
msg |
Authenticating native user 'Administrator' |
Descripción detallada de la acción |
cs1 |
Native user |
Dominio del registro de auditoría |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Resultado de la acción |
cs2Label |
Result |
|
Ejemplo de registro de CEF de evento de auditoría:
ESET Inspect sucesos
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Nombre del proceso que provoca esta alarma |
suser |
HP\\home |
Propietario del proceso |
cs2 |
custom_rule_12 |
Nombre de la regla que activa esta alarma |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hash SHA1 de alarma |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
Vínculo a la alarma en ESET Inspect Web Console |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Subparte del identificador del vínculo de alarma ($1 en ^http.*/alarm/([0-9]+)$) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Nivel de gravedad del ordenador |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Nivel de gravedad de la regla |
cn2Label |
SeverityScore |
|
cnt |
3 |
El número de alertas del mismo tipo generadas desde la última alarma |
ESETProtectDetectionUuid |
52a461ff-84e1-4ce6-b223-87c9cc8253ac |
El identificador único de una detección se puede utilizar para consultar detalles mediante ESET CONNECT API |
ESETProtectTriggerEvent |
Test Trigger |
Descripción del evento que desencadenó la detección |
ESETProtectCommandLine |
C:\\Windows\\System32\\cmd.exe |
Línea de comandos del proceso que desencadenó la detección |
Ejemplo de registro de CEF de evento de ESET Inspect
Eventos en archivos bloqueados
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
act |
Execution blocked |
Acción realizada |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Nombre de la cuenta de usuario relacionada con el evento |
deviceProcessName |
C:\\Windows\\explorer.exe |
Nombre del proceso relacionado con el evento |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Hash SHA1 del archivo bloqueado |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Objeto URI |
msg |
ESET Inspect |
Descripción del archivo bloqueado |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
La hora y la fecha en las que se encontró la detección por primera vez en el equipo. El formato es %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Causa |
cs2Label |
Cause |
|
ESETProtectDetectionUuid |
47260aff-bec7-46a6-bca2-7cb47b5e746b |
El identificador único de una detección se puede utilizar para consultar detalles mediante ESET CONNECT API |
Ejemplo de registro de CEF de evento de archivos bloqueados:
Eventos de sitio web filtrados
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
msg |
An attempt to connect to URL |
Tipo de suceso |
act |
Blocked |
Acción realizada |
cn1 |
1 |
La detección se gestionó (1) o no se gestionó (0) |
cn1Label |
Handled |
|
user |
Peter |
Nombre de la cuenta de usuario relacionada con el evento |
deviceProcessName |
Firefox |
Nombre del proceso relacionado con el evento |
cs1 |
Blocked by PUA blacklist |
ID de la regla |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
URL de solicitud bloqueada |
dst |
172.17.9.224 |
Dirección IPv4 del destino del evento |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Dirección IPv6 del destino del evento |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
ID del escáner |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Hash SHA1 del objeto filtrado |
cs3Label |
Hash |
|
ESETProtectDetectionUuid |
48083f11-1a99-4f2a-8107-7bdd3ab99237 |
El identificador único de una detección se puede utilizar para consultar detalles mediante ESET CONNECT API |
Ejemplo de registro de CEF de evento de sitio web filtrado:
Incidentes
Nombre de la extensión |
Ejemplo |
Descripción |
|---|---|---|
ESETProtectIncidentUuid |
00000000-0000-0000-0000-000000000000 |
Identificador único del incidente. Se puede utilizar en solicitudes de API públicas. |
cs1 |
Incident in detection: Malware detected |
Nombre del incidente. |
cs1Label |
Incident Name |
|
cs2 |
Open |
Estado del incidente en el momento en que ocurrió el evento. |
cs2Label |
Incident Status |
|
ESETProtectIncidentUrl |
https://test-protect.eset.com/era/webconsole/ |
URL que redirige al detalle del incidente en la consola de ESET PROTECT |
cn1 |
1 |
Número de indicadores que desencadenaron el incidente. |
cn1Label |
Indicator Count |
|
cn2 |
15 |
Número de dispositivos afectados por el incidente. |
cn2Label |
Device Count |
|
cn3 |
1 |
Número de procesos implicados por el incidente. |
cn3Label |
Process Count |
|
cn4 |
2 |
Número de módulos implicados por el incidente. |
cn4Label |
Module Count |
|
act |
|
Acción realizada ante el incidente, Crear o Actualizar. |