CEF形式にエクスポートされたイベント

Syslogに送信されたイベントログをフィルタリングするには、定義されたフィルターでログカテゴリ通知を作成します。

CEFはArcSight™によって開発されたテキストベースのログ形式です。CEF形式には、CEFヘッダーとCEF拡張子が含まれます。拡張子には、キーと値のペアのリストが含まれます。

CEFヘッダー

ヘッダ	例	説明
Device Vendor	ESET
Device Product	ProtectCloud
Device Version	10.0.5.1	ESET PROTECTバージョン
Device Event Class ID (Signature ID):	109	デバイスイベントカテゴリ一意のID: •100 - 199脅威イベント •200 - 299ファイアウォールイベント •300–399 HIPSイベント •400–499 監査イベント •500–599 ESET Inspectイベント •600 - 699ブロックされたファイルイベント •700 - 799フィルタリングされたWebサイトイベント
Event Name	Detected port scanning attack	イベントで発生した内容の簡単な説明
Severity	5	重大度 •2 – 情報 •3 – 通知 •5 – 警告 •7 – エラー •8 – 重大 •10 – 致命的

すべてのカテゴリで共通のCEF拡張子

拡張子名	例	説明
cat	ESET Threat Event	イベントカテゴリ: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	イベントを生成するコンピューターのIPv4アドレス。
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	イベントを生成するコンピューターのIPv6アドレス。
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	イベントのあるコンピューターのホスト名
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	イベントを生成するコンピューターのUUID。
rt	Jun 04 2017 14:10:0	イベントの発生時刻(UTC)。形式が%b %d %Y %H:%M:%Sです
ESETProtectDeviceGroupName	All/Lost & found	イベントを生成するコンピューターの静的グループへの完全パス。パスが255文字を超える場合は、ESETProtectDeviceGroupNameには静的グループ名だけが含されます。
ESETProtectDeviceOsName	Microsoft Windows 11 Pro	コンピューターのオペレーティングシステムに関する情報。
ESETProtectDeviceGroupDescription	Lost & found static group	静的グループ説明。

イベントカテゴリ別CEF拡張子

脅威イベント

拡張子名	例	説明
cs1	W97M/Kojer.A	検出された脅威名
cs1Label	Threat Name
cs2	25898 (20220909)	検出エンジンバージョン
cs2Label	Engine Version
cs3	Virus	検出タイプ
cs3Label	Threat Type
cs4	Real-time file system protection	スキャナーID
cs4Label	Scanner ID
cs5	virlog.dat	検査ID
cs5Label	Scan ID
cs6	Failed to remove file	アクションが失敗した場合のエラーメッセージ
cs6Label	Action Error
cs7	Event occurred on a newly created file	イベントの原因の簡単な説明
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	(検出)データストリームのSHA1ハッシュ。
cs8Label	Hash
act	Cleaned by deleting file	エンドポイントによってアクションが実行されました
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	オブジェクトURI
fileType	File	イベントに関連するオブジェクトタイプ
cn1	1	検出が処理された(1)、または処理されていない(0)
cn1Label	Handled
cn2	0	再起動が必要(1)、または必要ではない(0)
cn2Label	Restart Needed
suser	172-MG\\Administrator	イベントに関連付けられたユーザーアカウントの名前
sprod	C:\\7-Zip\\7z.exe	イベントソースプロセスの名前
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	コンピューターで初めて検出が見つかった日時。形式が%b %d %Y %H:%M:%Sです

脅威イベントCEFログの例:

ファイアウォールイベント

拡張子名	例	説明
msg	TCP Port Scanning attack	イベント名
src	127.0.0.1	イベントソースIPv4アドレス
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	イベントソースIPv6アドレス
c6a2Label	Source IPv6 Address
spt	36324	イベントソースのポート
dst	127.0.0.2	イベント宛先IPv4アドレス
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	イベント宛先IPv6アドレス
c6a3Label	Destination IPv6 Address
dpt	24	イベント宛先ポート
proto	http	プロトコル
act	Blocked	実行されたアクション
cn1	1	検出が処理された(1)、または処理されていない(0)
cn1Label	Handled
suser	172-MG\\Administrator	イベントに関連付けられたユーザーアカウントの名前
deviceProcessName	someApp.exe	イベントに関連付けられたプロセスの名前
deviceDirection	1	接続が受信(0)または送信(1)
cnt	3	ESET PROTECTとESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成された同じメッセージの数
cs1		ルールID
cs1Label	Rule ID
cs2	custom_rule_12	ルール名
cs2Label	Rule Name
cs3	Win32/Botnet.generic	脅威名
cs3Label	Threat Name

ファイアウォールイベントCEFログの例:

HIPS イベント

拡張子名	例	説明
cs1	Suspicious attempt to launch an application	ルールID
cs1Label	Rule ID
cs2	custom_rule_12	ルール名
cs2Label	Rule Name
cs3	C:\\someapp.exe	アプリケーション名
cs3Label	Application
cs4	Attempt to run a suspicious object	処理
cs4Label	Operation
cs5	C:\\somevirus.exe	対象
cs5Label	Target
act	Blocked	実行されたアクション
cs2	custom_rule_12	ルール名
cn1	1	検出が処理された(1)、または処理されていない(0)
cn1Label	Handled
cnt	3	ESET PROTECTとESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成された同じメッセージの数

HIPSイベントEFログの例:

監査イベント

拡張子名	例	説明
act	Login attempt	実行中のアクション
suser	Administrator	関係するセキュリティユーザー
duser	Administrator	対象のセキュリティユーザー(ログイン試行など)
msg	Authenticating native user 'Administrator'	アクションの詳細説明
cs1	Native user	監査ログドメイン
cs1Label	Audit Domain
cs2	Success	アクション結果
cs2Label	Result

監査イベントCEFログの例:

ESET Inspect イベント

拡張子名	例	説明
deviceProcessName	c:\\imagepath_bin.exe	このアラームを発生させるプロセスの名前
suser	HP\\home	プロセス所有者
cs2	custom_rule_12	このアラームをトリガーするルールの名前
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	アラームSHA1ハッシュ
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	ESET Inspect Webコンソールのアラームへのリンク
cs4Label	EI Console Link
cs5	126	アラームリンクのID部分(^http.*/alarm/([0-9]+)$の$1)
cs5Label	EI Alarm ID
cn1	275	コンピューター重要度スコア
cn1Label	ComputerSeverityScore
cn2	60	ルール重要度スコア
cn2Label	SeverityScore
cnt	3	前回のアラーム以降に生成された同じタイプのアラートの数

ESET InspectイベントCEFログの例:

ブロックされたファイルイベント

拡張子名	例	説明
act	Execution blocked	実行されたアクション
cn1	1	検出が処理された(1)、または処理されていない(0)
cn1Label	Handled
suser	HP\\home	イベントに関連付けられたユーザーアカウントの名前
deviceProcessName	C:\\Windows\\explorer.exe	イベントに関連付けられたプロセスの名前
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	ブロックされたファイルのSHA1ハッシュ
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	オブジェクトURI
msg	ESET Inspect	ブロックされたファイル説明
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	コンピューターで初めて検出が見つかった日時。形式が%b %d %Y %H:%M:%Sです
cs2	Blocked by Administrator	原因
cs2Label	Cause

ブロックされたファイルイベントEFログの例:

フィルタリングされたWebサイトイベント

拡張子名	例	説明
msg	An attempt to connect to URL	イベントタイプ
act	Blocked	実行されたアクション
cn1	1	検出が処理された(1)、または処理されていない(0)
cn1Label	Handled
suser	Peter	イベントに関連付けられたユーザーアカウントの名前
deviceProcessName	Firefox	イベントに関連付けられたプロセスの名前
cs1	Blocked by PUA blacklist	ルールID
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	ブロックされた要求のURL
dst	172.17.9.224	イベント宛先IPv4アドレス
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	イベント宛先IPv6アドレス
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	スキャナーID
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	フィルタリングされたオブジェクトのSHA1ハッシュ
cs3Label	Hash

フィルタリングされたWebサイトイベントEFログの例:

˄˅