Zdarzenia eksportowane do formatu CEF

Aby filtrować dzienniki zdarzeń wysyłane do programu Syslog, utwórz powiadomienie o kategorii dziennika ze zdefiniowanym filtrem.

CEF to tekstowy format dziennika opracowany przez ArcSight™. Format CEF zawiera nagłówek CEF i rozszerzenie CEF. Rozszerzenie zawiera listę par klucz-wartość.

CEF nagłówki

Nagłówki	Przykład	Opis
Device Vendor	ESET
Device Product	ProtectCloud
Device Version	10.0.5.1	ESET PROTECT wersja
Device Event Class ID (Signature ID):	109	Unikatowy identyfikator kategorii zdarzeń urządzenia: •100–199 Wystąpienie zagrożenia •200–299 Zdarzenie zapory •300–399 HIPS zdarzenie •400–499 zdarzenie audytu •500–599 ESET Inspect zdarzenie •600–699 zdarzenie Zablokowane pliki •700–799 zdarzenie Filtrowane strony internetowe
Event Name	Detected port scanning attack	Krótki opis tego, co miało miejsce podczas zdarzenia
Severity	5	Stopień szczegółowości •2 – Informacje •3 – Uwaga •5 – Ostrzeżenie •7 – Błąd •8 – Krytyczne •10 – Krytyczny

Rozszerzenia CEF wspólne dla wszystkich kategorii

Nazwa rozszerzenia	Przykład	Opis
cat	ESET Threat Event	Kategoria zdarzeń: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	Adres IPv4 komputera, który wygenerował zdarzenie.
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Adres IPv6 komputera, który wygenerował zdarzenie.
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	Nazwa hosta komputera związanego ze zdarzeniem
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	identyfikator UUID komputera, który wygenerował zdarzenie.
rt	Jun 04 2017 14:10:0	Godzina wystąpienia zdarzenia w formacie UTC. Format to %b %d %Y %H:%M:%S
ESETProtectDeviceGroupName	All/Lost & found	Pełna ścieżka do grupy statycznej komputera generującego zdarzenie. Jeśli jednak ścieżka jest dłuższa niż 255 znaków, ESETProtectDeviceGroupName zawiera tylko nazwę grupy statycznej.
ESETProtectDeviceOsName	Microsoft Windows 11 Pro	Informacje o systemie operacyjnym komputera.
ESETProtectDeviceGroupDescription	Lost & found static group	Opis grupy statycznej.

Rozszerzenia CEF według kategorii zdarzeń

Wystąpienia zagrożeń

Nazwa rozszerzenia	Przykład	Opis
cs1	W97M/Kojer.A	Znaleziono nazwę zagrożenia
cs1Label	Threat Name
cs2	25898 (20220909)	Wersja silnika detekcji
cs2Label	Engine Version
cs3	Virus	Typ wykrycia
cs3Label	Threat Type
cs4	Real-time file system protection	Identyfikator skanera
cs4Label	Scanner ID
cs5	virlog.dat	Identyfikator skanowania
cs5Label	Scan ID
cs6	Failed to remove file	Komunikat o błędzie generowany w przypadku, gdy „czynność” nie przyniesie żądanego efektu
cs6Label	Action Error
cs7	Event occurred on a newly created file	Krótki opis przyczyny zdarzenia
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	Skrót SHA1 strumienia danych (wykrycia).
cs8Label	Hash
act	Cleaned by deleting file	Czynność została podjęta przez punkt końcowy
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	Obiekt URI
fileType	File	Typ obiektu związany ze zdarzeniem
cn1	1	Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0)
cn1Label	Handled
cn2	0	Ponowne uruchomienie jest potrzebne (1) lub nie jest potrzebne (0)
cn2Label	Restart Needed
suser	172-MG\\Administrator	Nazwa konta użytkownika związanego ze zdarzeniem
sprod	C:\\7-Zip\\7z.exe	Nazwa procesu źródła zdarzenia
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Data i godzina wykrycia po raz pierwszy na maszynie. Format to %b %d %Y %H:%M:%S
ESETProtectDetectionUuid	4a1e0af2-ed5f-42cb-bb29-eee2600d57c7	Niepowtarzalny identyfikator wykrycia; może być używany do wyszukiwania szczegółów wykrycia za pomocą ESET CONNECT API

Przykład dziennika CEF wystąpienia zagrożenia:

Zdarzenia zapory

Nazwa rozszerzenia	Przykład	Opis
msg	TCP Port Scanning attack	Nazwa zdarzenia
src	127.0.0.1	Adres IPv4 źródła zdarzenia
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	Adres IPv6 źródła zdarzenia
c6a2Label	Source IPv6 Address
spt	36324	Port źródła zdarzenia
dst	127.0.0.2	Adres IPv4 miejsca docelowego zdarzenia
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Adres IPv6 miejsca docelowego zdarzenia
c6a3Label	Destination IPv6 Address
dpt	24	Port docelowy zdarzenia
proto	http	Protokół
act	Blocked	Wykonane czynności
cn1	1	Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0)
cn1Label	Handled
suser	172-MG\\Administrator	Nazwa konta użytkownika związanego ze zdarzeniem
deviceProcessName	someApp.exe	Nazwa procesu związanego ze zdarzeniem
deviceDirection	1	Połączenie było przychodzące (0) lub wychodzące (1)
cnt	3	Liczba takich samych komunikatów wygenerowanych przez punkt końcowy między dwiema kolejnymi replikacjami między ESET PROTECT a agentem ESET Management
cs1		Identyfikator reguły
cs1Label	Rule ID
cs2	custom_rule_12	Nazwa reguły
cs2Label	Rule Name
cs3	Win32/Botnet.generic	Nazwa zagrożenia
cs3Label	Threat Name
ESETProtectDetectionUuid	ffd50742-cb15-4c7a-9409-c597c4dc512b	Niepowtarzalny identyfikator wykrycia; może być używany do wyszukiwania szczegółów wykrycia za pomocą ESET CONNECT API

Przykład dziennika CEF zdarzenia zapory:

HIPS zdarzenia

Nazwa rozszerzenia	Przykład	Opis
cs1	Suspicious attempt to launch an application	Identyfikator reguły
cs1Label	Rule ID
cs2	custom_rule_12	Nazwa reguły
cs2Label	Rule Name
cs3	C:\\someapp.exe	Nazwa aplikacji
cs3Label	Application
cs4	Attempt to run a suspicious object	Operacja
cs4Label	Operation
cs5	C:\\somevirus.exe	Obiekt docelowy
cs5Label	Target
act	Blocked	Wykonane czynności
cs2	custom_rule_12	Nazwa reguły
cn1	1	Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0)
cn1Label	Handled
cnt	3	Liczba takich samych komunikatów wygenerowanych przez punkt końcowy między dwiema kolejnymi replikacjami między ESET PROTECT a agentem ESET Management
ESETProtectDetectionUuid	bf84a564-ac25-4c87-b72f-0031592d2a2d	Niepowtarzalny identyfikator wykrycia; może być używany do wyszukiwania szczegółów wykrycia za pomocą ESET CONNECT API

Przykład dziennika CEF zdarzeń systemu HIPS:

Zdarzenia audytu

Nazwa rozszerzenia	Przykład	Opis
act	Login attempt	Trwające działanie
suser	Administrator	Użytkownik związany z zabezpieczeniami
duser	Administrator	Użytkownik ukierunkowanych zabezpieczeń (na przykład dla prób logowania)
msg	Authenticating native user 'Administrator'	Szczegółowy opis działania
cs1	Native user	Domena dzienników audytu
cs1Label	Audit Domain
cs2	Success	Wynik działania
cs2Label	Result

Przykład dziennika CEF zdarzenia audytu:

ESET Inspect zdarzenia

Nazwa rozszerzenia	Przykład	Opis
deviceProcessName	c:\\imagepath_bin.exe	Nazwa procesu wywołującego ten alarm
suser	HP\\home	Właściciel procesu
cs2	custom_rule_12	Nazwa reguły wyzwalającej ten alarm
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Skrót SHA1 alarmu
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	Łącze do alarmu w konsoli internetowej ESET Inspect
cs4Label	EI Console Link
cs5	126	Podczęść ID łącza alarmowego ($1 (w ^http.*/alarm/([0-9]+)$)
cs5Label	EI Alarm ID
cn1	275	Wynik stopnia zagrożenia komputera
cn1Label	ComputerSeverityScore
cn2	60	Wynik stopnia zagrożenia reguły
cn2Label	SeverityScore
cnt	3	Liczba alertów tego samego typu wygenerowanych od ostatniego alarmu
ESETProtectDetectionUuid	52a461ff-84e1-4ce6-b223-87c9cc8253ac	Niepowtarzalny identyfikator wykrycia; może być używany do wyszukiwania szczegółów wykrycia za pomocą ESET CONNECT API
ESETProtectTriggerEvent	Test Trigger	Opis zdarzenia, które wywołało wykrycie
ESETProtectCommandLine	C:\\Windows\\System32\\cmd.exe	Wiersz poleceń procesu, który wyzwolił wykrycie

Przykład dziennika CEF zdarzenia ESET Inspect:

Zdarzenia zablokowanych plików

Nazwa rozszerzenia	Przykład	Opis
act	Execution blocked	Wykonane czynności
cn1	1	Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0)
cn1Label	Handled
suser	HP\\home	Nazwa konta użytkownika związanego ze zdarzeniem
deviceProcessName	C:\\Windows\\explorer.exe	Nazwa procesu związanego ze zdarzeniem
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	Skrót SHA1 zablokowanego pliku
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	Obiekt URI
msg	ESET Inspect	Opis zablokowanego pliku
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	Data i godzina wykrycia po raz pierwszy na maszynie. Format to %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	Przyczyna
cs2Label	Cause
ESETProtectDetectionUuid	47260aff-bec7-46a6-bca2-7cb47b5e746b	Niepowtarzalny identyfikator wykrycia; może być używany do wyszukiwania szczegółów wykrycia za pomocą ESET CONNECT API

Przykład dziennika CEF zdarzenia zablokowanych plików:

Filtrowane zdarzenia w witrynie

Nazwa rozszerzenia	Przykład	Opis
msg	An attempt to connect to URL	Typ zdarzenia
act	Blocked	Wykonane czynności
cn1	1	Wykrywanie zostało obsłużone (1) lub nie zostało obsłużone (0)
cn1Label	Handled
suser	Peter	Nazwa konta użytkownika związanego ze zdarzeniem
deviceProcessName	Firefox	Nazwa procesu związanego ze zdarzeniem
cs1	Blocked by PUA blacklist	Identyfikator reguły
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	Adres URL zablokowanego żądania
dst	172.17.9.224	Adres IPv4 miejsca docelowego zdarzenia
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	Adres IPv6 miejsca docelowego zdarzenia
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	Identyfikator skanera
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	Skrót SHA1 filtrowanego obiektu
cs3Label	Hash
ESETProtectDetectionUuid	48083f11-1a99-4f2a-8107-7bdd3ab99237	Niepowtarzalny identyfikator wykrycia; może być używany do wyszukiwania szczegółów wykrycia za pomocą ESET CONNECT API

Przykład dziennika CEF filtrowanych zdarzeń witryny:

˄˅