ESET-ova online pomoć

Traži Hrvatski
Odaberite temu

Događaji izvezeni u format CEF

Da biste filtrirali dnevnike događaja poslane u Syslog, stvorite obavijest o kategoriji dnevnika s definiranim filtrom.

CEF je tekstni oblik dnevnika koji je razvio ArcSight™. Format CEF uključuje CEF zaglavlje i CEF proširenje. Proširenje sadrži popis parova ključeva i vrijednosti.

CEF zaglavlje

Zaglavlje

Primjer

Opis

Device Vendor

ESET

 

Device Product

ProtectCloud

 

Device Version

10.0.5.1

ESET PROTECT verziju

Device Event Class ID (Signature ID):

109

Jedinstveni identifikator kategorije događaja uređaja:

100–199 prijetnja

200–299 događaj firewalla

300–399 HIPS događaj

400–499 provjera događaja

500–599 Događaj ESET Inspect

600–699 događaj blokiranih datoteka

700–799 događaj filtriranih web stranica

Event Name

Detected port scanning attack

Kratak opis tijeka događaja

Severity

5

Ozbiljnost:

2 –Informacije

3 – Napomena

5 – Upozorenje

7 – Pogreška

8 – Kritično

10 – Kritično

CEF proširenja zajednička svim kategorijama

Naziv proširenja

Primjer

Opis

cat

ESET Threat Event

Kategorija događaja:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

IPv4 adresa računala koje generira događaj.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6 adresa računala koje generira događaj.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Naziv hosta računala s događajem

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID računala koje generira događaj.

rt

Jun 04 2017 14:10:0

UTC vrijeme zbivanja događaja. Format je %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

Cijeli put statičke grupe računala koje generira događaj. Ako je put dulji od 255 znakova, ESETProtectDeviceGroupName sadrži samo naziv statičke grupe.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

Informacije o operacijskom sustavu računala.

ESETProtectDeviceGroupDescription

Lost & found static group

Opis statičke grupe.

CEF proširenja po kategoriji događaja

Prijetnje

Naziv proširenja

Primjer

Opis

cs1

W97M/Kojer.A

Naziv pronađene prijetnje

cs1Label

Threat Name

 

cs2

25898 (20220909)

Verzija sustava za otkrivanje

cs2Label

Engine Version

 

cs3

Virus

Vrsta prijetnje

cs3Label

Threat Type

 

cs4

Real-time

file system protection

ID skenera

cs4Label

Scanner ID

 

cs5

virlog.dat

ID skeniranja

cs5Label

Scan ID

 

cs6

Failed to remove file

Poruka o pogrešci ako "radnja" nije uspješna

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Kratak opis uzroka događaja

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

SHA1 hash protoka podataka (o prijetnjama).

cs8Label

Hash

 

act

Cleaned by deleting file

Radnju je poduzelo računalo

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Objekt URI

fileType

File

Vrsta objekta povezana s događajem

cn1

1

Prijetnja je riješena (1) ili nije riješena (0)

cn1Label

Handled

 

cn2

0

Restart je potreban (1) ili nije potreban (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Naziv korisničkog računa povezanog s događajem

sprod

C:\\7-Zip\\7z.exe

Naziv procesa izvora događaja

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Vrijeme i datum kad je prijetnja prvi put otkrivena na računalu. Format je %b %d %Y %H:%M:%S

arrow_down_business Primjer CEF zapisnika događaja prijetnje:

Događaji firewalla

Naziv proširenja

Primjer

Opis

msg

TCP Port Scanning attack

Naziv događaja

src

127.0.0.1

IPv4 adresa izvora događaja

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

IPv6 adresa izvora događaja

c6a2Label

Source IPv6 Address

 

spt

36324

Port izvora događaja

dst

127.0.0.2

IPv4 adresa odredišta događaja

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

IPv6 adresa odredišta događaja

c6a3Label

Destination IPv6 Address

 

dpt

24

Port odredišta događaja

proto

http

Protokol

act

Blocked

Poduzeta radnja

cn1

1

Prijetnja je riješena (1) ili nije riješena (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Naziv korisničkog računa povezanog s događajem

deviceProcessName

someApp.exe

Naziv procesa povezanog s događajem

deviceDirection

1

Veza je bila dolazna (0) ili odlazna (1)

cnt

3

Broj istih poruka koje je generiralo računalo između dviju uzastopnih replikacija između programa ESET PROTECT i ESET Management agenta

cs1

 

ID pravila

cs1Label

Rule ID

 

cs2

custom_rule_12

Naziv pravila

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Naziv prijetnje

cs3Label

Threat Name

 

arrow_down_business Primjer CEF zapisnika događaja vatrozida:

HIPS događaji

Naziv proširenja

Primjer

Opis

cs1

Suspicious attempt to launch an application

ID pravila

cs1Label

Rule ID

 

cs2

custom_rule_12

Naziv pravila

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Naziv aplikacije

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Operacija

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Objekt

cs5Label

Target

 

act

Blocked

Poduzeta radnja

cs2

custom_rule_12

Naziv pravila

cn1

1

Prijetnja je riješena (1) ili nije riješena (0)

cn1Label

Handled

 

cnt

3

Broj istih poruka koje je generiralo računalo između dviju uzastopnih replikacija između programa ESET PROTECT i ESET Management agenta

arrow_down_business Primjer CEF zapisnika HIPS događaja:

Događaji provjere

Naziv proširenja

Primjer

Opis

act

Login attempt

Radnja koja se odvija

suser

Administrator

Korisnik zaštite koji je uključen

duser

Administrator

Ciljani korisnik zaštite (na primjer, za pokušaje prijave)

msg

Authenticating native user 'Administrator'

Detaljni opis radnje

cs1

Native user

Domena dnevnika provjere

cs1Label

Audit Domain

 

cs2

Success

Rezultat radnje

cs2Label

Result

 

arrow_down_business Primjer CEF zapisnika događaja provjere:

ESET Inspect događaji

Naziv proširenja

Primjer

Opis

deviceProcessName

c:\\imagepath_bin.exe

Naziv procesa koji uzrokuje upozorenje

suser

HP\\home

Vlasnik procesa

cs2

custom_rule_12

Naziv pravila koje aktivira ovo upozorenje

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

SHA1 hash upozorenja

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Veza na upozorenje na ESET Inspect web konzoli

cs4Label

EI Console Link

 

cs5

126

ID poddio linka upozorenja ($1 u ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Rezultat ozbiljnosti računala

cn1Label

ComputerSeverityScore

 

cn2

60

Rezultat ozbiljnosti pravila

cn2Label

SeverityScore

 

cnt

3

Broj upozorenja iste vrste generiranih od posljednjeg upozorenja

arrow_down_business Primjer CEF zapisnika događaja ESET Inspect:

Događaji blokiranih datoteka

Naziv proširenja

Primjer

Opis

act

Execution blocked

Poduzeta radnja

cn1

1

Prijetnja je riješena (1) ili nije riješena (0)

cn1Label

Handled

 

suser

HP\\home

Naziv korisničkog računa povezanog s događajem

deviceProcessName

C:\\Windows\\explorer.exe

Naziv procesa povezanog s događajem

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

SHA1 hash blokirane datoteke

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Objekt URI

msg

ESET Inspect

Opis blokirane datoteke

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Vrijeme i datum kad je prijetnja prvi put otkrivena na računalu. Format je %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Uzrok

cs2Label

Cause

 

arrow_down_business Primjer CEF zapisnika događaja blokiranih datoteka:

Događaji filtriranih web stranica

Naziv proširenja

Primjer

Opis

msg

An attempt to connect to URL

Vrsta događaja

act

Blocked

Poduzeta radnja

cn1

1

Prijetnja je riješena (1) ili nije riješena (0)

cn1Label

Handled

 

suser

Peter

Naziv korisničkog računa povezanog s događajem

deviceProcessName

Firefox

Naziv procesa povezanog s događajem

cs1

Blocked by PUA blacklist

ID pravila

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL blokiranog zahtjeva

dst

172.17.9.224

IPv4 adresa odredišta događaja

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

IPv6 adresa odredišta događaja

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

ID skenera

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

SHA1 hash filtriranog objekta

cs3Label

Hash

 

arrow_down_business Primjer CEF zapisnika filtriranog događaja web-mjesta: