CEF biçimine aktarılan olaylar
Syslog'a gönderilen olay günlüklerini filtrelemek için tanımlanan bir filtreyle bir günlük kategorisi bildirimi oluşturun.
CEF, ArcSight™ tarafından geliştirilen metin tabanlı bir günlük biçimidir. CEF biçimi bir CEF üstbilgisi ile bir CEF uzantısından oluşur. Uzantı, anahtar-değer çiftlerinin bir listesini içerir.
CEF üstbilgisi
Üstbilgi |
Örnek |
Açıklama |
---|---|---|
Device Vendor |
ESET |
|
Device Product |
ProtectCloud |
|
Device Version |
10.0.5.1 |
ESET PROTECT sürüm |
Device Event Class ID (Signature ID): |
109 |
Cihaz Olay Kategorisi benzersiz tanıtıcı: •100–199 Tehdit olayı •200–299 Güvenlik duvarı olayı •300Olay •400–499 denetleme Olayı •500–599 ESET Inspect olay •600–699 Engellenen dosyalar olayı •700–799 Filtrelenmiş web siteleri olayı |
Event Name |
Detected port scanning attack |
Olayda neler olduğuyla ilgili kısa bir açıklama |
Severity |
5 |
Şiddet •2 – Bilgi •3 – Bildirim •5 – Uyarı •7 – Hata •8 – Kritik •10 – Önemli |
Tüm kategoriler için ortak olan CEF uzantıları
Uzantı adı |
Örnek |
Açıklama |
---|---|---|
cat |
ESET Threat Event |
Olay kategorisi: •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event |
dvc |
10.0.12.59 |
Olayı oluşturan bilgisayarın IPv4 adresi. |
c6a1 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Olayı oluşturan bilgisayarın IPv6 adresi. |
c6a1Label |
Device IPv6 Address |
|
dvchost |
COMPUTER02 |
Olaya sahip bilgisayarın ana bilgisayar adı |
deviceExternalId |
39e0feee-45e2-476a-b17f-169b592c3645 |
olayı oluşturan bilgisayarın UUID'si. |
rt |
Jun 04 2017 14:10:0 |
Olayın gerçekleştiği UTC saati. Biçim %b %d %Y %H:%M:%S |
ESETProtectDeviceGroupName |
All/Lost & found |
Olayı oluşturan bilgisayarın statik grubuna ait yolun tamamı. Yol 255 karakterden uzunsa ESETProtectDeviceGroupName yalnızca statik grup adını içerir. |
ESETProtectDeviceOsName |
Microsoft Windows 11 Pro |
Bilgisayarın işletim sistemiyle ilgili bilgiler. |
ESETProtectDeviceGroupDescription |
Lost & found static group |
Statik grup açıklaması. |
Olay kategorisine göre CEF uzantıları
Tehdit olayları
Uzantı adı |
Örnek |
Açıklama |
---|---|---|
cs1 |
W97M/Kojer.A |
Bulunan tehdit adı |
cs1Label |
Threat Name |
|
cs2 |
25898 (20220909) |
Algılama altyapısı sürümü |
cs2Label |
Engine Version |
|
cs3 |
Virus |
Tespit türü |
cs3Label |
Threat Type |
|
cs4 |
Real-time file system protection |
Tarayıcı kimliği |
cs4Label |
Scanner ID |
|
cs5 |
virlog.dat |
Tarama Kimliği |
cs5Label |
Scan ID |
|
cs6 |
Failed to remove file |
"İşlem" başarısız olursa hata iletisi |
cs6Label |
Action Error |
|
cs7 |
Event occurred on a newly created file |
Olaya neyin neden olduğuna dair kısa açıklama |
cs7Label |
Circumstances |
|
cs8 |
0000000000000000000000000000000000000000 |
(Algılama) veri akışının SHA1 karması. |
cs8Label |
Hash |
|
act |
Cleaned by deleting file |
Eylem uç nokta tarafından gerçekleştirildi |
filePath |
file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC |
Nesne URI |
fileType |
File |
Olayla ilgili nesne türü |
cn1 |
1 |
Tespit işlendi (1) veya işlenmedi (0) |
cn1Label |
Handled |
|
cn2 |
0 |
Yeniden başlatma gerekli (1) veya gerekli değil (0) |
cn2Label |
Restart Needed |
|
suser |
172-MG\\Administrator |
Olayla ilişkilendirilen kullanıcı hesabının adı |
sprod |
C:\\7-Zip\\7z.exe |
Olay kaynağı işleminin adı |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Tespitin makinede ilk bulunduğu saat ve tarih. Biçim %b %d %Y %H:%M:%S |
ESETProtectDetectionUuid |
4a1e0af2-ed5f-42cb-bb29-eee2600d57c7 |
Benzersiz tespit tanımlayıcısı, ESET CONNECT API üzerinden tespit ayrıntılarını sorgulamak için kullanılabilir |
Tehdit olayı CEF günlüğü örneği:
Güvenlik duvarı olayları
Uzantı adı |
Örnek |
Açıklama |
---|---|---|
msg |
TCP Port Scanning attack |
Olay adı |
src |
127.0.0.1 |
Olay kaynağı IPv4 adresi |
c6a2 |
2001:0db8:85a3:0000:0000:8a2e:0370:7334 |
Olay kaynağı IPv6 adresi |
c6a2Label |
Source IPv6 Address |
|
spt |
36324 |
Olay kaynağının bağlantı noktası |
dst |
127.0.0.2 |
Olay hedefi IPv4 adresi |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Olay hedefi IPv6 adresi |
c6a3Label |
Destination IPv6 Address |
|
dpt |
24 |
Olay hedefi bağlantı noktası |
proto |
http |
Protokol |
act |
Blocked |
Gerçekleştirilen eylem |
cn1 |
1 |
Tespit işlendi (1) veya işlenmedi (0) |
cn1Label |
Handled |
|
suser |
172-MG\\Administrator |
Olayla ilişkilendirilen kullanıcı hesabının adı |
deviceProcessName |
someApp.exe |
Olayla ilişkilendirilen işlemin adı |
deviceDirection |
1 |
Bağlantı gelen bağlantıydı (0) veya giden bağlantıydı (1) |
cnt |
3 |
ESET PROTECT ve ESET Management Agent arasında arka arkaya iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı mesajların sayısı |
cs1 |
|
Kural Kimliği |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Kural adı |
cs2Label |
Rule Name |
|
cs3 |
Win32/Botnet.generic |
Tehdit adı |
cs3Label |
Threat Name |
|
ESETProtectDetectionUuid |
ffd50742-cb15-4c7a-9409-c597c4dc512b |
Benzersiz tespit tanımlayıcısı, ESET CONNECT API üzerinden tespit ayrıntılarını sorgulamak için kullanılabilir |
Güvenlik duvarı olayı CEF günlüğü örneği:
HIPS olaylar
Uzantı adı |
Örnek |
Açıklama |
---|---|---|
cs1 |
Suspicious attempt to launch an application |
Kural Kimliği |
cs1Label |
Rule ID |
|
cs2 |
custom_rule_12 |
Kural adı |
cs2Label |
Rule Name |
|
cs3 |
C:\\someapp.exe |
Uygulama adı |
cs3Label |
Application |
|
cs4 |
Attempt to run a suspicious object |
İşlem |
cs4Label |
Operation |
|
cs5 |
C:\\somevirus.exe |
Hedef |
cs5Label |
Target |
|
act |
Blocked |
Gerçekleştirilen eylem |
cs2 |
custom_rule_12 |
Kural adı |
cn1 |
1 |
Tespit işlendi (1) veya işlenmedi (0) |
cn1Label |
Handled |
|
cnt |
3 |
ESET PROTECT ve ESET Management Agent arasında arka arkaya iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı mesajların sayısı |
ESETProtectDetectionUuid |
bf84a564-ac25-4c87-b72f-0031592d2a2d |
Benzersiz tespit tanımlayıcısı, ESET CONNECT API üzerinden tespit ayrıntılarını sorgulamak için kullanılabilir |
Host Tabanlı Saldırı Önleme Sistemi (HIPS) olayı CEF günlüğü örneği:
Denetleme olayları
Uzantı adı |
Örnek |
Açıklama |
---|---|---|
act |
Login attempt |
Eylem gerçekleştiriliyor |
suser |
Administrator |
Güvenlik kullanıcısı dahil |
duser |
Administrator |
Hedeflenen güvenlik kullanıcısı (örneğin, giriş denemeleri için) |
msg |
Authenticating native user 'Administrator' |
Eylemin ayrıntılı açıklaması |
cs1 |
Native user |
Denetleme günlüğü etki alanı |
cs1Label |
Audit Domain |
|
cs2 |
Success |
Eylem sonucu |
cs2Label |
Result |
|
Denetim olayı CEF günlüğü örneği:
ESET Inspect olaylar
Uzantı adı |
Örnek |
Açıklama |
---|---|---|
deviceProcessName |
c:\\imagepath_bin.exe |
Bu alarma neden olan işlemin adı |
suser |
HP\\home |
İşlem sahibi |
cs2 |
custom_rule_12 |
Bu alarmı tetikleyen kuralın adı |
cs2Label |
Rule Name |
|
cs3 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Alarm SHA1 hash'i |
cs3Label |
Hash |
|
cs4 |
https://inspect.eset.com:443/console/alarm/126 |
ESET Inspect Web Konsolu'daki alarma bağlantı |
cs4Label |
EI Console Link |
|
cs5 |
126 |
Alarm bağlantısının kimlik alt bölümü (^http.*/alarm/([0-9]+)$ içindeki $1) |
cs5Label |
EI Alarm ID |
|
cn1 |
275 |
Bilgisayar önem derecesi puanı |
cn1Label |
ComputerSeverityScore |
|
cn2 |
60 |
Kural önem derecesi puanı |
cn2Label |
SeverityScore |
|
cnt |
3 |
Son alarmdan bu yana oluşturulan aynı tür uyarıların sayısı |
ESETProtectDetectionUuid |
52a461ff-84e1-4ce6-b223-87c9cc8253ac |
Benzersiz tespit tanımlayıcısı, ESET CONNECT API üzerinden tespit ayrıntılarını sorgulamak için kullanılabilir |
ESETProtectTriggerEvent |
Test Trigger |
Tespiti tetikleyen olayın açıklaması |
ESETProtectCommandLine |
C:\\Windows\\System32\\cmd.exe |
Tespiti tetikleyen işlem komut satırı |
ESET Inspect olayı CEF günlüğü örneği:
Engellenen dosya olayları
Uzantı adı |
Örnek |
Açıklama |
---|---|---|
act |
Execution blocked |
Gerçekleştirilen eylem |
cn1 |
1 |
Tespit işlendi (1) veya işlenmedi (0) |
cn1Label |
Handled |
|
suser |
HP\\home |
Olayla ilişkilendirilen kullanıcı hesabının adı |
deviceProcessName |
C:\\Windows\\explorer.exe |
Olayla ilişkilendirilen işlemin adı |
cs1 |
78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9 |
Engellenen dosyanın SHA1 hash'i |
cs1Label |
Hash |
|
filePath |
C:\\totalcmd\\TOTALCMD.EXE |
Nesne URI |
msg |
ESET Inspect |
Engellenen dosya açıklaması |
deviceCustomDate1 |
Jun 04 2019 14:10:00 |
|
deviceCustomDate1Label |
FirstSeen |
Tespitin makinede ilk bulunduğu saat ve tarih. Biçim %b %d %Y %H:%M:%S |
cs2 |
Blocked by Administrator |
Neden |
cs2Label |
Cause |
|
ESETProtectDetectionUuid |
47260aff-bec7-46a6-bca2-7cb47b5e746b |
Benzersiz tespit tanımlayıcısı, ESET CONNECT API üzerinden tespit ayrıntılarını sorgulamak için kullanılabilir |
Engellenen dosyalar olayı CEF günlüğü örneği
Filtrelenmiş web sitesi olayları
Uzantı adı |
Örnek |
Açıklama |
---|---|---|
msg |
An attempt to connect to URL |
Olay türü |
act |
Blocked |
Gerçekleştirilen eylem |
cn1 |
1 |
Tespit işlendi (1) veya işlenmedi (0) |
cn1Label |
Handled |
|
suser |
Peter |
Olayla ilişkilendirilen kullanıcı hesabının adı |
deviceProcessName |
Firefox |
Olayla ilişkilendirilen işlemin adı |
cs1 |
Blocked by PUA blacklist |
Kural Kimliği |
cs1Label |
Rule ID |
|
requestUrl |
https://kenmmal.com/ |
engellenen isteğin URL'si |
dst |
172.17.9.224 |
Olay hedefi IPv4 adresi |
c6a3 |
2001:0db8:85a3:0000:0000:8a2e:0370:7335 |
Olay hedefi IPv6 adresi |
c6a3Label |
Destination IPv6 Address |
|
cs2 |
HTTP filter |
Tarayıcı kimliği |
cs2Label |
Scanner ID |
|
cs3 |
8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5 |
Filtre uygulanmış nesnenin SHA1 hash'i |
cs3Label |
Hash |
|
ESETProtectDetectionUuid |
48083f11-1a99-4f2a-8107-7bdd3ab99237 |
Benzersiz tespit tanımlayıcısı, ESET CONNECT API üzerinden tespit ayrıntılarını sorgulamak için kullanılabilir |
Filtrelenmiş web sitesi olayı CEF günlüğü örneği: