ESET PROTECT – 목차

CEF 형식으로 내보낸 이벤트

Syslog로 전송된 이벤트 로그를 필터링하려면 필터가 정의된 로그 범주 알림을 생성합니다.

CEF는 ArcSight™에서 개발한 텍스트 기반 로그 형식입니다. CEF 형식에는 CEF 헤더와 CEF 확장이 포함됩니다. 확장에는 키-값 쌍의 목록이 포함됩니다.

CEF 헤더

헤더

설명

Device Vendor

ESET

 

Device Product

ProtectCloud

 

Device Version

10.0.5.1

ESET PROTECT 버전으로 업그레이드

Device Event Class ID (Signature ID):

109

장치 이벤트 범주 고유 식별자:

100–199 위협 이벤트

200–299 방화벽 이벤트

300–399 HIPS 이벤트

400–499 감사 이벤트

500–599 ESET Inspect 이벤트

600–699 차단된 파일 이벤트

700–799 필터링된 웹 사이트 이벤트

800~899 인시던트 이벤트

Event Name

Detected port scanning attack

이벤트에서 일어난 일에 대한 간략한 설명

Severity

5

심각도

2 – 정보

3 – 알림

5 – 경고

7 – 오류

8 – 중요

10 – 치명적인

모든 범주에 공통적인 CEF 확장

확장 이름

설명

cat

ESET Threat Event

이벤트 범주:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

이벤트를 생성하는 컴퓨터의 IPv4 주소

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

이벤트를 생성하는 컴퓨터의 IPv6 주소

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

이벤트가 있는 컴퓨터의 호스트 이름

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

이벤트를 생성하는 컴퓨터의 UUID

rt

Jun 04 2017 14:10:0

이벤트가 발생한 UTC 시간. 형식은 %b %d %Y %H:%M:%S입니다.

ESETProtectDeviceGroupName

All/Lost & found

이벤트를 생성하는 컴퓨터의 정적 그룹에 대한 전체 경로입니다. 경로가 255자보다 길면 ESETProtectDeviceGroupName에는 정적 그룹 이름만 포함됩니다.

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

컴퓨터의 운영 체제에 대한 정보입니다.

ESETProtectDeviceGroupDescription

Lost & found static group

정적 그룹 설명.

이벤트 범주별 CEF 확장

위협 이벤트

확장 이름

설명

cs1

W97M/Kojer.A

발견된 위협 이름

cs1Label

Threat Name

 

cs2

25898 (20220909)

진단 엔진 버전

cs2Label

Engine Version

 

cs3

Virus

탐지 유형

cs3Label

Threat Type

 

cs4

Real-time

file system protection

검사기 ID

cs4Label

Scanner ID

 

cs5

virlog.dat

검사 ID

cs5Label

Scan ID

 

cs6

Failed to remove file

"동작"이 실패한 경우 오류 메시지

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

이벤트 원인에 대한 간략한 설명

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

(탐지) 데이터 스트림의 SHA1 해시입니다.

cs8Label

Hash

 

act

Cleaned by deleting file

엔드포인트에서 수행된 동작

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

개체 URI

fileType

File

이벤트와 관련된 개체 유형

cn1

1

처리된 탐지(1) 또는 처리되지 않은 탐지(0)

cn1Label

Handled

 

cn2

0

다시 시작 필요(1) 또는 다시 시작 필요 없음(0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

이벤트와 연결된 사용자 계정의 이름

sprod

C:\\7-Zip\\7z.exe

이벤트 소스 프로세스의 이름

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

컴퓨터에서 처음으로 탐지가 발견된 시간과 날짜입니다. 형식은 %b %d %Y %H:%M:%S입니다.

ESETProtectDetectionUuid

4a1e0af2-ed5f-42cb-bb29-eee2600d57c7

탐지의 고유 식별자는 ESET CONNECT API를 통해 상세 정보를 쿼리하는 데 사용할 수 있습니다.

ESETProtectOperation

ProcessCreated

작업

arrow_down_business 위협 이벤트 CEF 로그의 예:

방화벽 이벤트

확장 이름

설명

msg

TCP Port Scanning attack

이벤트 이름

src

127.0.0.1

이벤트 소스 IPv4 주소

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

이벤트 소스 IPv6 주소

c6a2Label

Source IPv6 Address

 

spt

36324

이벤트 소스의 포트

dst

127.0.0.2

이벤트 대상 IPv4 주소

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

이벤트 대상 IPv6 주소

c6a3Label

Destination IPv6 Address

 

dpt

24

이벤트 대상 포트

proto

http

프로토콜

act

Blocked

수행된 동작

cn1

1

처리된 탐지(1) 또는 처리되지 않은 탐지(0)

cn1Label

Handled

 

suser

172-MG\\Administrator

이벤트와 연결된 사용자 계정의 이름

deviceProcessName

someApp.exe

이벤트와 연결된 프로세스의 이름

deviceDirection

1

인바운드 연결(0) 또는 아웃바운드 연결(1)

cnt

3

ESET PROTECT 및 ESET Management Agent 간 두 개의 연속 복제 사이에 있는 엔드포인트에서 생성된 동일한 메시지 수

cs1

 

규칙 ID

cs1Label

Rule ID

 

cs2

custom_rule_12

규칙 이름

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

위협 이름

cs3Label

Threat Name

 

ESETProtectDetectionUuid

ffd50742-cb15-4c7a-9409-c597c4dc512b

탐지의 고유 식별자는 ESET CONNECT API를 통해 상세 정보를 쿼리하는 데 사용할 수 있습니다.

ESETProtectOperation

ProcessCreated

작업

arrow_down_business 방화벽 이벤트 CEF 로그의 예:

HIPS 이벤트

확장 이름

설명

cs1

Suspicious attempt to launch an application

규칙 ID

cs1Label

Rule ID

 

cs2

custom_rule_12

규칙 이름

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

응용 프로그램 이름

cs3Label

Application

 

cs4

Attempt to run a suspicious object

작업

cs4Label

Operation

 

cs5

C:\\somevirus.exe

대상

cs5Label

Target

 

act

Blocked

수행된 동작

cs2

custom_rule_12

규칙 이름

cn1

1

처리된 탐지(1) 또는 처리되지 않은 탐지(0)

cn1Label

Handled

 

cnt

3

ESET PROTECT 및 ESET Management Agent 간 두 개의 연속 복제 사이에 있는 엔드포인트에서 생성된 동일한 메시지 수

ESETProtectDetectionUuid

bf84a564-ac25-4c87-b72f-0031592d2a2d

탐지의 고유 식별자는 ESET CONNECT API를 통해 상세 정보를 쿼리하는 데 사용할 수 있습니다.

ESETProtectOperation

ProcessCreated

작업

arrow_down_business HIPS 이벤트 CEF 로그의 예:

감사 이벤트

확장 이름

설명

act

Login attempt

발생한 동작

suser

Administrator

관련된 보안 사용자

duser

Administrator

대상 보안 사용자(예: 로그인 시도)

msg

Authenticating native user 'Administrator'

동작의 자세한 설명

cs1

Native user

감사 로그 도메인

cs1Label

Audit Domain

 

cs2

Success

동작 결과

cs2Label

Result

 

arrow_down_business 감사 이벤트 CEF 로그의 예:

ESET Inspect 이벤트

확장 이름

설명

deviceProcessName

c:\\imagepath_bin.exe

이 경보를 발생시키는 프로세스의 이름

suser

HP\\home

프로세스 소유자

cs2

custom_rule_12

이 경보를 트리거하는 규칙의 이름

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

경보 SHA1 해시

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

ESET Inspect 웹 콘솔의 경보에 대한 링크

cs4Label

EI Console Link

 

cs5

126

경보 링크의 ID 하위 부분(^http.*/alarm/([0-9]+)$의 $1)

cs5Label

EI Alarm ID

 

cn1

275

컴퓨터 심각도 점수

cn1Label

ComputerSeverityScore

 

cn2

60

규칙 심각도 점수

cn2Label

SeverityScore

 

cnt

3

마지막 경보 이후에 생성된 같은 유형의 경보 수

ESETProtectDetectionUuid

52a461ff-84e1-4ce6-b223-87c9cc8253ac

탐지의 고유 식별자는 ESET CONNECT API를 통해 상세 정보를 쿼리하는 데 사용할 수 있습니다.

ESETProtectTriggerEvent

Test Trigger

탐지를 트리거한 이벤트에 대한 설명

ESETProtectCommandLine

C:\\Windows\\System32\\cmd.exe

탐지를 트리거한 프로세스의 명령줄

arrow_down_business ESET Inspect 이벤트 CEF 로그의 예:

차단된 파일 이벤트

확장 이름

설명

act

Execution blocked

수행된 동작

cn1

1

처리된 탐지(1) 또는 처리되지 않은 탐지(0)

cn1Label

Handled

 

suser

HP\\home

이벤트와 연결된 사용자 계정의 이름

deviceProcessName

C:\\Windows\\explorer.exe

이벤트와 연결된 프로세스의 이름

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

차단된 파일의 SHA1 해시

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

개체 URI

msg

ESET Inspect

차단된 파일 설명

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

컴퓨터에서 처음으로 탐지가 발견된 시간과 날짜입니다. 형식은 %b %d %Y %H:%M:%S입니다.

cs2

Blocked by Administrator

원인

cs2Label

Cause

 

ESETProtectDetectionUuid

47260aff-bec7-46a6-bca2-7cb47b5e746b

탐지의 고유 식별자는 ESET CONNECT API를 통해 상세 정보를 쿼리하는 데 사용할 수 있습니다.

arrow_down_business 차단된 파일 이벤트 CEF 로그의 예:

필터링된 웹 사이트 이벤트

확장 이름

설명

msg

An attempt to connect to URL

이벤트 유형

act

Blocked

수행된 동작

cn1

1

처리된 탐지(1) 또는 처리되지 않은 탐지(0)

cn1Label

Handled

 

user

Peter

이벤트와 연결된 사용자 계정의 이름

deviceProcessName

Firefox

이벤트와 연결된 프로세스의 이름

cs1

Blocked by PUA blacklist

규칙 ID

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

차단된 요청 URL

dst

172.17.9.224

이벤트 대상 IPv4 주소

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

이벤트 대상 IPv6 주소

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

검사기 ID

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

필터링된 개체의 SHA1 해시

cs3Label

Hash

 

ESETProtectDetectionUuid

48083f11-1a99-4f2a-8107-7bdd3ab99237

탐지의 고유 식별자는 ESET CONNECT API를 통해 상세 정보를 쿼리하는 데 사용할 수 있습니다.

arrow_down_business 필터링된 웹 사이트 이벤트 CEF 로그의 예:

사고

확장 이름

설명

ESETProtectIncidentUuid

00000000-0000-0000-0000-000000000000

인시던트의 고유 식별자입니다. 공개 API 요청에 사용할 수 있습니다.

cs1

Incident in detection: Malware detected

인시던트의 이름입니다.

cs1Label

Incident Name

 

cs2

Open

이벤트가 발생한 시점의 인시던트 상태입니다.

cs2Label

Incident Status

 

ESETProtectIncidentUrl

https://test-protect.eset.com/era/webconsole/

ESET PROTECT 콘솔의 인시던트 상세 정보로 연결되는 URL입니다.

cn1

1

인시던트를 트리거한 지표의 수입니다.

cn1Label

Indicator Count

 

cn2

15

인시던트의 영향을 받은 장치 수입니다.

cn2Label

Device Count

 

cn3

1

인시던트와 관련된 프로세스 수입니다.

cn3Label

Process Count

 

cn4

2

인시던트와 관련된 모듈 수입니다.

cn4Label

Module Count

 

act

 

인시던트에 대해 수행된 동작(생성 또는 업데이트)입니다.
arrow_down_business인시던트 통합 이벤트 예시: