Zdarzenia eksportowane do formatu CEF

Aby filtrować dzienniki zdarzeń wysyłane do programu Syslog, utwórz powiadomienie o kategorii dziennika ze zdefiniowanym filtrem.

CEF to tekstowy format dziennika opracowany przez ArcSight™. Format CEF zawiera nagłówek CEF i rozszerzenie CEF. Rozszerzenie zawiera listę par klucz-wartość.

CEF nagłówki

Nagłówki

Przykład

Opis

Device Vendor

ESET

 

Device Product

ProtectCloud

 

Device Version

10.0.5.1

ESET PROTECT Cloud wersja

Device Event Class ID (Signature ID):

109

Unikatowy identyfikator kategorii zdarzeń urządzenia:

100199 Wystąpienie zagrożenia

200299 Zdarzenie zapory

300399 HIPS zdarzenie

400499 zdarzenie audytu

500599 ESET Inspect zdarzenie

600699 zdarzenie Zablokowane pliki

700–799 zdarzenie Filtrowane strony internetowe

Event Name

Detected port scanning attack

Krótki opis tego, co miało miejsce podczas zdarzenia

Severity

5

Stopień zagrożenia 010

Rozszerzenia CEF wspólne dla wszystkich kategorii

Nazwa rozszerzenia

Przykład

Opis

cat

ESET Threat Event

Kategoria zdarzeń:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET InspectEvent

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

Adres IPv4 komputera, który wygenerował zdarzenie.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Adres IPv6 komputera, który wygenerował zdarzenie.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Nazwa hosta komputera związanego ze zdarzeniem

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

identyfikator UUID komputera, który wygenerował zdarzenie.

flexString1

Lost & Found

Nazwa grupy komputera, który wygenerował zdarzenie

flexString1Label

Device Group Name

 

rt

Jun 04 2017 14:10:0

Godzina wystąpienia zdarzenia w formacie UTC. Format to %b %d %Y %H:%M:%S

Rozszerzenia CEF według kategorii zdarzeń

Wystąpienia zagrożeń

Nazwa rozszerzenia

Przykład

Opis

cs1

W97M/Kojer.A

Znaleziono nazwę zagrożenia

cs1Label

Threat Name

 

cs2

25898 (20220909)

Wersja silnika detekcji

cs2Label

Engine Version

 

cs3

Virus

Typ wykrycia

cs3Label

Threat Type

 

cs4

Real-time

file system protection

Identyfikator skanera

cs4Label

Scanner ID

 

cs5

virlog.dat

Identyfikator skanowania

cs5Label

Scan ID

 

cs6

Failed to remove file

Komunikat o błędzie generowany w przypadku, gdy „czynność” nie przyniesie żądanego efektu

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Krótki opis przyczyny zdarzenia

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

Skrót SHA1 strumienia danych (wykrycia).

cs8Label

Hash

 

act

Cleaned by deleting file

Czynność została podjęta przez punkt końcowy

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Obiekt URI

fileType

File

Typ obiektu związany ze zdarzeniem

cn1

1

Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0)

cn1Label

Handled

 

cn2

0

Ponowne uruchomienie jest potrzebne (1) lub nie jest potrzebne (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Nazwa konta użytkownika związanego ze zdarzeniem

sprod

C:\\7-Zip\\7z.exe

Nazwa procesu źródła zdarzenia

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Data i godzina wykrycia po raz pierwszy na maszynie. Format to %b %d %Y %H:%M:%S

arrow_down_business Wystąpienie zagrożenia CEF — przykład dziennika:

Zdarzenia zapory

Nazwa rozszerzenia

Przykład

Opis

msg

TCP Port Scanning attack

Nazwa zdarzenia

src

127.0.0.1

Adres IPv4 źródła zdarzenia

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Adres IPv6 źródła zdarzenia

c6a2Label

Source IPv6 Address

 

spt

36324

Port źródła zdarzenia

dst

127.0.0.2

Adres IPv4 miejsca docelowego zdarzenia

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Adres IPv6 miejsca docelowego zdarzenia

c6a3Label

Destination IPv6 Address

 

dpt

24

Port docelowy zdarzenia

proto

http

Protokół

act

Blocked

Wykonane czynności

cn1

1

Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Nazwa konta użytkownika związanego ze zdarzeniem

deviceProcessName

someApp.exe

Nazwa procesu związanego ze zdarzeniem

deviceDirection

1

Połączenie było przychodzące (0) lub wychodzące (1)

cnt

3

Liczba takich samych komunikatów wygenerowanych przez punkt końcowy między dwiema kolejnymi replikacjami między ESET PROTECT Cloud a agentem ESET Management

cs1

 

Identyfikator reguły

cs1Label

Rule ID

 

cs2

custom_rule_12

Nazwa reguły

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Nazwa zagrożenia

cs3Label

Threat Name

 

arrow_down_business Zdarzenie zapory CEF — przykład dziennika:

HIPS zdarzenia

Nazwa rozszerzenia

Przykład

Opis

cs1

Suspicious attempt to launch an application

Identyfikator reguły

cs1Label

Rule ID

 

cs2

custom_rule_12

Nazwa reguły

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Nazwa aplikacji

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Operacja

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Obiekt docelowy

cs5Label

Target

 

act

Blocked

Wykonane czynności

cs2

custom_rule_12

Nazwa reguły

cn1

1

Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0)

cn1Label

Handled

 

cnt

3

Liczba takich samych komunikatów wygenerowanych przez punkt końcowy między dwiema kolejnymi replikacjami między ESET PROTECT Cloud a agentem ESET Management

arrow_down_business system HIPS zdarzenie CEF — przykład dziennika:

Zdarzenia audytu

Nazwa rozszerzenia

Przykład

Opis

act

Login attempt

Trwające działanie

suser

Administrator

Użytkownik związany z zabezpieczeniami

duser

Administrator

Użytkownik ukierunkowanych zabezpieczeń (na przykład dla prób logowania)

msg

Authenticating native user 'Administrator'

Szczegółowy opis działania

cs1

Native user

Domena dzienników audytu

cs1Label

Audit Domain

 

cs2

Success

Wynik działania

cs2Label

Result

 

arrow_down_business Zdarzenie audytu CEF — przykład dziennika:

ESET Inspect zdarzenia

Nazwa rozszerzenia

Przykład

Opis

deviceProcessName

c:\\imagepath_bin.exe

Nazwa procesu wywołującego ten alarm

suser

HP\\home

Właściciel procesu

cs2

custom_rule_12

Nazwa reguły wyzwalającej ten alarm

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Skrót SHA1 alarmu

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Łącze do alarmu w konsoli internetowej ESET Inspect

cs4Label

EI Console Link

 

cs5

126

Podczęść ID łącza alarmowego ($1 (w ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Wynik stopnia zagrożenia komputera

cn1Label

ComputerSeverityScore

 

cn2

60

Wynik stopnia zagrożenia reguły

cn2Label

SeverityScore

 

cnt

3

Liczba alertów tego samego typu wygenerowanych od ostatniego alarmu

arrow_down_business ESET Inspectzdarzenie CEF — przykład dziennika:

Zdarzenia zablokowanych plików

Nazwa rozszerzenia

Przykład

Opis

act

Execution blocked

Wykonane czynności

cn1

1

Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0)

cn1Label

Handled

 

suser

HP\\home

Nazwa konta użytkownika związanego ze zdarzeniem

deviceProcessName

C:\\Windows\\explorer.exe

Nazwa procesu związanego ze zdarzeniem

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Skrót SHA1 zablokowanego pliku

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Obiekt URI

msg

ESET Inspect

Opis zablokowanego pliku

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Data i godzina wykrycia po raz pierwszy na maszynie. Format to %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Przyczyna

cs2Label

Cause

 

arrow_down_business zdarzenie Zablokowane pliki CEF — przykład dziennika:

Filtrowane zdarzenia w witrynie

Nazwa rozszerzenia

Przykład

Opis

msg

An attempt to connect to URL

Typ zdarzenia

act

Blocked

Wykonane czynności

cn1

1

Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0)

cn1Label

Handled

 

suser

Peter

Nazwa konta użytkownika związanego ze zdarzeniem

deviceProcessName

Firefox

Nazwa procesu związanego ze zdarzeniem

cs1

Blocked by PUA blacklist

Identyfikator reguły

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

Adres URL zablokowanego żądania

dst

172.17.9.224

Adres IPv4 miejsca docelowego zdarzenia

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Adres IPv6 miejsca docelowego zdarzenia

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

Identyfikator skanera

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Skrót SHA1 filtrowanego obiektu

cs3Label

Hash

 

arrow_down_business Zdarzenie w filtrowanej witrynie CEF — przykład dziennika: