CEF 형식으로 내보낸 이벤트
Syslog로 전송된 이벤트 로그를 필터링하려면 필터가 정의된 로그 범주 알림을 생성합니다.
CEF는 ArcSight™에서 개발한 텍스트 기반 로그 형식입니다. CEF 형식에는 CEF 헤더와 CEF 확장이 포함됩니다. 확장에는 키-값 쌍의 목록이 포함됩니다.
CEF 헤더
헤더 |
예 |
설명 |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
ProtectCloud |
|
Device Version |
10.0.5.1 |
ESET PROTECT 버전으로 업그레이드 |
Device Event Class ID (Signature ID): |
109 |
장치 이벤트 범주 고유 식별자: •100–199 위협 이벤트 •200–299 방화벽 이벤트 •300–399 HIPS 이벤트 •400–499 감사 이벤트 •500–599 ESET Inspect 이벤트 •600–699 차단된 파일 이벤트 •700–799 필터링된 웹 사이트 이벤트 |
Event Name |
Detected port scanning attack |
이벤트에서 일어난 일에 대한 간략한 설명 |
Severity |
5 |
심각도 •2 – 정보 •3 – 알림 •5 – 경고 •7 – 오류 •8 – 중요 •10 – 치명적인 |
모든 범주에 공통적인 CEF 확장
확장 이름 |
예 |
설명 |
---|---|---|
cat |
ESET Threat Event |
이벤트 범주: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
이벤트를 생성하는 컴퓨터의 IPv4 주소 |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
이벤트를 생성하는 컴퓨터의 IPv6 주소 |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
이벤트가 있는 컴퓨터의 호스트 이름 |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
이벤트를 생성하는 컴퓨터의 UUID |
rt |
Jun 04 2017 14:10:0 |
이벤트가 발생한 UTC 시간. 형식은 %b %d %Y %H:%M:%S입니다. |
ESETProtectDeviceGroupName |
All/Lost & found |
이벤트를 생성하는 컴퓨터의 정적 그룹에 대한 전체 경로입니다. 경로가 255자보다 길면 ESETProtectDeviceGroupName에는 정적 그룹 이름만 포함됩니다. |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
컴퓨터의 운영 체제에 대한 정보입니다. |
ESETProtectDeviceGroupDescription |
Lost & found static group |
정적 그룹 설명. |
이벤트 범주별 CEF 확장
위협 이벤트
확장 이름 |
예 |
설명 |
---|---|---|
cs1 |
W97M/Kojer.A |
발견된 위협 이름 |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
진단 엔진 버전 |
cs2Label |
Engine Version |
|
cs3 |
Virus |
탐지 유형 |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
검사기 ID |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
검사 ID |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
"동작"이 실패한 경우 오류 메시지 |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
이벤트 원인에 대한 간략한 설명 |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
(탐지) 데이터 스트림의 SHA1 해시입니다. |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
엔드포인트에서 수행된 동작 |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
개체 URI |
fileType |
File |
이벤트와 관련된 개체 유형 |
cn1 |
1 |
처리된 탐지(1) 또는 처리되지 않은 탐지(0) |
cn1Label |
Handled |
|
cn2 |
0 |
다시 시작 필요(1) 또는 다시 시작 필요 없음(0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
이벤트와 연결된 사용자 계정의 이름 |
sprod |
C:\\7-Zip\\7z.exe |
이벤트 소스 프로세스의 이름 |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
컴퓨터에서 처음으로 탐지가 발견된 시간과 날짜입니다. 형식은 %b %d %Y %H:%M:%S입니다. |
방화벽 이벤트
확장 이름 |
예 |
설명 |
---|---|---|
msg |
TCP Port Scanning attack |
이벤트 이름 |
src |
127.0.0.1 |
이벤트 소스 IPv4 주소 |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
이벤트 소스 IPv6 주소 |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
이벤트 소스의 포트 |
dst |
127.0.0.2 |
이벤트 대상 IPv4 주소 |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
이벤트 대상 IPv6 주소 |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
이벤트 대상 포트 |
proto |
http |
프로토콜 |
act |
Blocked |
수행된 동작 |
cn1 |
1 |
처리된 탐지(1) 또는 처리되지 않은 탐지(0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
이벤트와 연결된 사용자 계정의 이름 |
deviceProcessName |
someApp.exe |
이벤트와 연결된 프로세스의 이름 |
deviceDirection |
1 |
인바운드 연결(0) 또는 아웃바운드 연결(1) |
cnt |
3 |
ESET PROTECT 및 ESET Management Agent 간 두 개의 연속 복제 사이에 있는 엔드포인트에서 생성된 동일한 메시지 수 |
cs1 |
|
규칙 ID |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
규칙 이름 |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
위협 이름 |
cs3Label |
Threat Name |
|
HIPS 이벤트
확장 이름 |
예 |
설명 |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
규칙 ID |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
규칙 이름 |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
응용 프로그램 이름 |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
작업 |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
대상 |
cs5Label |
Target |
|
act |
Blocked |
수행된 동작 |
cs2 |
custom_rule_12 |
규칙 이름 |
cn1 |
1 |
처리된 탐지(1) 또는 처리되지 않은 탐지(0) |
cn1Label |
Handled |
|
cnt |
3 |
ESET PROTECT 및 ESET Management Agent 간 두 개의 연속 복제 사이에 있는 엔드포인트에서 생성된 동일한 메시지 수 |
감사 이벤트
확장 이름 |
예 |
설명 |
---|---|---|
act |
Login attempt |
발생한 동작 |
suser |
Administrator |
관련된 보안 사용자 |
duser |
Administrator |
대상 보안 사용자(예: 로그인 시도) |
msg |
Authenticating native user 'Administrator' |
동작의 자세한 설명 |
cs1 |
Native user |
감사 로그 도메인 |
cs1Label |
Audit Domain |
|
cs2 |
Success |
동작 결과 |
cs2Label |
Result |
|
ESET Inspect 이벤트
확장 이름 |
예 |
설명 |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
이 경보를 발생시키는 프로세스의 이름 |
suser |
HP\\home |
프로세스 소유자 |
cs2 |
custom_rule_12 |
이 경보를 트리거하는 규칙의 이름 |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
경보 SHA1 해시 |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
ESET Inspect 웹 콘솔의 경보에 대한 링크 |
cs4Label |
EI Console Link |
|
cs5 |
126 |
경보 링크의 ID 하위 부분(^http.*/alarm/([0-9]+)$의 $1) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
컴퓨터 심각도 점수 |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
규칙 심각도 점수 |
cn2Label |
SeverityScore |
|
cnt |
3 |
마지막 경보 이후에 생성된 같은 유형의 경보 수 |
차단된 파일 이벤트
확장 이름 |
예 |
설명 |
---|---|---|
act |
Execution blocked |
수행된 동작 |
cn1 |
1 |
처리된 탐지(1) 또는 처리되지 않은 탐지(0) |
cn1Label |
Handled |
|
suser |
HP\\home |
이벤트와 연결된 사용자 계정의 이름 |
deviceProcessName |
C:\\Windows\\explorer.exe |
이벤트와 연결된 프로세스의 이름 |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
차단된 파일의 SHA1 해시 |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
개체 URI |
msg |
ESET Inspect |
차단된 파일 설명 |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
컴퓨터에서 처음으로 탐지가 발견된 시간과 날짜입니다. 형식은 %b %d %Y %H:%M:%S입니다. |
cs2 |
Blocked by Administrator |
원인 |
cs2Label |
Cause |
|
필터링된 웹 사이트 이벤트
확장 이름 |
예 |
설명 |
---|---|---|
msg |
An attempt to connect to URL |
이벤트 유형 |
act |
Blocked |
수행된 동작 |
cn1 |
1 |
처리된 탐지(1) 또는 처리되지 않은 탐지(0) |
cn1Label |
Handled |
|
suser |
Peter |
이벤트와 연결된 사용자 계정의 이름 |
deviceProcessName |
Firefox |
이벤트와 연결된 프로세스의 이름 |
cs1 |
Blocked by PUA blacklist |
규칙 ID |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
차단된 요청 URL |
dst |
172.17.9.224 |
이벤트 대상 IPv4 주소 |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
이벤트 대상 IPv6 주소 |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
검사기 ID |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
필터링된 개체의 SHA1 해시 |
cs3Label |
Hash |
|