ESET PROTECT – 目次

CEF形式にエクスポートされたイベント

Syslogに送信されたイベントログをフィルタリングするには、定義されたフィルターでログカテゴリ通知を作成します。

CEFはArcSight™によって開発されたテキストベースのログ形式です。CEF形式には、CEFヘッダーとCEF拡張子が含まれます。拡張子には、キーと値のペアのリストが含まれます。

CEFヘッダー

ヘッダ

説明

Device Vendor

ESET

 

Device Product

ProtectCloud

 

Device Version

10.0.5.1

ESET PROTECTバージョン

Device Event Class ID (Signature ID):

109

デバイスイベントカテゴリ一意のID:

100 - 199脅威イベント

200 - 299ファイアウォールイベント

300–399 HIPSイベント

400–499 監査イベント

500–599 ESET Inspectイベント

600 - 699ブロックされたファイルイベント

700 - 799フィルタリングされたWebサイトイベント

800 - 899インシデントイベント

Event Name

Detected port scanning attack

イベントで発生した内容の簡単な説明

Severity

5

重大度

2 – 情報

3 – 通知

5 – 警告

7 – エラー

8 – 重大

10 – 致命的

すべてのカテゴリで共通のCEF拡張子

拡張子名

説明

cat

ESET Threat Event

イベントカテゴリ:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

イベントを生成するコンピューターのIPv4アドレス。

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

イベントを生成するコンピューターのIPv6アドレス。

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

イベントのあるコンピューターのホスト名

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

イベントを生成するコンピューターのUUID。

rt

Jun 04 2017 14:10:0

イベントの発生時刻(UTC)。形式が%b %d %Y %H:%M:%Sです

ESETProtectDeviceGroupName

All/Lost & found

イベントを生成するコンピューターの静的グループへの完全パス。パスが255文字を超える場合は、ESETProtectDeviceGroupNameには静的グループ名だけが含されます。

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

コンピューターのオペレーティングシステムに関する情報。

ESETProtectDeviceGroupDescription

Lost & found static group

静的グループ説明。

イベントカテゴリ別CEF拡張子

脅威イベント

拡張子名

説明

cs1

W97M/Kojer.A

検出された脅威名

cs1Label

Threat Name

 

cs2

25898 (20220909)

検出エンジンバージョン

cs2Label

Engine Version

 

cs3

Virus

検出タイプ

cs3Label

Threat Type

 

cs4

Real-time

file system protection

スキャナーID

cs4Label

Scanner ID

 

cs5

virlog.dat

検査ID

cs5Label

Scan ID

 

cs6

Failed to remove file

アクションが失敗した場合のエラーメッセージ

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

イベントの原因の簡単な説明

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

(検出)データストリームのSHA1ハッシュ。

cs8Label

Hash

 

act

Cleaned by deleting file

エンドポイントによってアクションが実行されました

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

オブジェクトURI

fileType

File

イベントに関連するオブジェクトタイプ

cn1

1

検出が処理された(1)、または処理されていない(0)

cn1Label

Handled

 

cn2

0

再起動が必要(1)、または必要ではない(0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

イベントに関連付けられたユーザーアカウントの名前

sprod

C:\\7-Zip\\7z.exe

イベントソースプロセスの名前

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

コンピューターで初めて検出が見つかった日時。形式が%b %d %Y %H:%M:%Sです

ESETProtectDetectionUuid

4a1e0af2-ed5f-42cb-bb29-eee2600d57c7

検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。

ESETProtectOperation

ProcessCreated

処理

arrow_down_business 脅威イベントCEFログの例:

ファイアウォールイベント

拡張子名

説明

msg

TCP Port Scanning attack

イベント名

src

127.0.0.1

イベントソースIPv4アドレス

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

イベントソースIPv6アドレス

c6a2Label

Source IPv6 Address

 

spt

36324

イベントソースのポート

dst

127.0.0.2

イベント宛先IPv4アドレス

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

イベント宛先IPv6アドレス

c6a3Label

Destination IPv6 Address

 

dpt

24

イベント宛先ポート

proto

http

プロトコル

act

Blocked

実行されたアクション

cn1

1

検出が処理された(1)、または処理されていない(0)

cn1Label

Handled

 

suser

172-MG\\Administrator

イベントに関連付けられたユーザーアカウントの名前

deviceProcessName

someApp.exe

イベントに関連付けられたプロセスの名前

deviceDirection

1

接続が受信(0)または送信(1)

cnt

3

ESET PROTECTとESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成された同じメッセージの数

cs1

 

ルールID

cs1Label

Rule ID

 

cs2

custom_rule_12

ルール名

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

脅威名

cs3Label

Threat Name

 

ESETProtectDetectionUuid

ffd50742-cb15-4c7a-9409-c597c4dc512b

検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。

ESETProtectOperation

ProcessCreated

処理

arrow_down_business ファイアウォールイベントCEFログの例:

HIPS イベント

拡張子名

説明

cs1

Suspicious attempt to launch an application

ルールID

cs1Label

Rule ID

 

cs2

custom_rule_12

ルール名

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

アプリケーション名

cs3Label

Application

 

cs4

Attempt to run a suspicious object

処理

cs4Label

Operation

 

cs5

C:\\somevirus.exe

対象

cs5Label

Target

 

act

Blocked

実行されたアクション

cs2

custom_rule_12

ルール名

cn1

1

検出が処理された(1)、または処理されていない(0)

cn1Label

Handled

 

cnt

3

ESET PROTECTとESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成された同じメッセージの数

ESETProtectDetectionUuid

bf84a564-ac25-4c87-b72f-0031592d2a2d

検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。

ESETProtectOperation

ProcessCreated

処理

arrow_down_business HIPSイベントEFログの例:

監査イベント

拡張子名

説明

act

Login attempt

実行中のアクション

suser

Administrator

関係するセキュリティユーザー

duser

Administrator

対象のセキュリティユーザー(ログイン試行など)

msg

Authenticating native user 'Administrator'

アクションの詳細説明

cs1

Native user

監査ログドメイン

cs1Label

Audit Domain

 

cs2

Success

アクション結果

cs2Label

Result

 

arrow_down_business 監査イベントCEFログの例:

ESET Inspect イベント

拡張子名

説明

deviceProcessName

c:\\imagepath_bin.exe

このアラームを発生させるプロセスの名前

suser

HP\\home

プロセス所有者

cs2

custom_rule_12

このアラームをトリガーするルールの名前

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

アラームSHA1ハッシュ

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

ESET Inspect Webコンソールのアラームへのリンク

cs4Label

EI Console Link

 

cs5

126

アラームリンクのID部分(^http.*/alarm/([0-9]+)$の$1)

cs5Label

EI Alarm ID

 

cn1

275

コンピューター重要度スコア

cn1Label

ComputerSeverityScore

 

cn2

60

ルール重要度スコア

cn2Label

SeverityScore

 

cnt

3

前回のアラーム以降に生成された同じタイプのアラートの数

ESETProtectDetectionUuid

52a461ff-84e1-4ce6-b223-87c9cc8253ac

検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。

ESETProtectTriggerEvent

Test Trigger

検出をトリガーしたイベントの説明

ESETProtectCommandLine

C:\\Windows\\System32\\cmd.exe

検出をトリガーしたプロセスのコマンドライン

arrow_down_business ESET InspectイベントCEFログの例:

ブロックされたファイルイベント

拡張子名

説明

act

Execution blocked

実行されたアクション

cn1

1

検出が処理された(1)、または処理されていない(0)

cn1Label

Handled

 

suser

HP\\home

イベントに関連付けられたユーザーアカウントの名前

deviceProcessName

C:\\Windows\\explorer.exe

イベントに関連付けられたプロセスの名前

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

ブロックされたファイルのSHA1ハッシュ

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

オブジェクトURI

msg

ESET Inspect

ブロックされたファイル説明

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

コンピューターで初めて検出が見つかった日時。形式が%b %d %Y %H:%M:%Sです

cs2

Blocked by Administrator

原因

cs2Label

Cause

 

ESETProtectDetectionUuid

47260aff-bec7-46a6-bca2-7cb47b5e746b

検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。

arrow_down_business ブロックされたファイルイベントEFログの例:

フィルタリングされたWebサイトイベント

拡張子名

説明

msg

An attempt to connect to URL

イベントタイプ

act

Blocked

実行されたアクション

cn1

1

検出が処理された(1)、または処理されていない(0)

cn1Label

Handled

 

user

Peter

イベントに関連付けられたユーザーアカウントの名前

deviceProcessName

Firefox

イベントに関連付けられたプロセスの名前

cs1

Blocked by PUA blacklist

ルールID

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

ブロックされた要求のURL

dst

172.17.9.224

イベント宛先IPv4アドレス

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

イベント宛先IPv6アドレス

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

スキャナーID

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

フィルタリングされたオブジェクトのSHA1ハッシュ

cs3Label

Hash

 

ESETProtectDetectionUuid

48083f11-1a99-4f2a-8107-7bdd3ab99237

検出の一意の識別子を使用して、ESET CONNECT APIで詳細をクエリできます。

arrow_down_business フィルタリングされたWebサイトイベントEFログの例:

インシデント

拡張子名

説明

ESETProtectIncidentUuid

00000000-0000-0000-0000-000000000000

インシデントの一意の識別子。パブリックAPIリクエストで使用できます。

cs1

Incident in detection: Malware detected

インシデントの名前。

cs1Label

Incident Name

 

cs2

Open

イベント発生時のインシデントのステータス。

cs2Label

Incident Status

 

ESETProtectIncidentUrl

https://test-protect.eset.com/era/webconsole/

ESET PROTECTコンソールのインシデント詳細に移動するURL

cn1

1

インシデントをトリガーしたインジケーターの数。

cn1Label

Indicator Count

 

cn2

15

インシデントの影響を受けたデバイスの数。

cn2Label

Device Count

 

cn3

1

インシデントに関与したプロセスの数。

cn3Label

Process Count

 

cn4

2

インシデントに関与したモジュールの数。

cn4Label

Module Count

 

act

 

インシデントに対して実行されたアクション(作成または更新)。
arrow_down_businessインシデント統合イベントの例: