导出为 CEF 格式的事件

Device Vendor

ESET

Device Product

ProtectCloud

Device Version

10.0.5.1

ESET PROTECT 版本

Device Event Class ID (Signature ID):

109

设备事件类别唯一标识符：

•100-199 威胁事件

•200-299 防火墙事件

•300–399 HIPS 事件

•400–499 审核事件

•500–599 ESET Inspect 事件

•600-699 阻止的文件事件

•700-799 过滤的网站事件

Event Name

Detected port scanning attack

事件所发生情况的简要说明

Severity

5

严重性:

•2 – 信息

•3 – 通知

•5 – 警告

•7 – 错误

•8 – 严重

•10 – 致命

cat

ESET Threat Event

事件类别：

•ESET Threat Event

•ESET Firewall Event

•ESET HIPS Event

•ESET RA Audit Event

•ESET Inspect Event

•ESET Blocked File Event

•ESET Filtered Website Event

dvc

10.0.12.59

生成事件的计算机 IPv4 地址。

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

生成事件的计算机 IPv6 地址。

c6a1Label

Device IPv6 Address

dvchost

COMPUTER02

发生事件的计算机的主机名

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

生成事件的计算机 UUID。

rt

Jun 04 2017 14:10:0

事件发生的 UTC 时间。该格式为 %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

生成事件的计算机的静态组的完整路径。如果路径的长度超过 255 个字符，则 ESETProtectDeviceGroupName 仅会包含静态组名称。

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

有关计算机操作系统的信息。

ESETProtectDeviceGroupDescription

Lost & found static group

静态组说明。

cs1

W97M/Kojer.A

发现威胁名称

cs1Label

Threat Name

cs2

25898 (20220909)

检测引擎版本

cs2Label

Engine Version

cs3

Virus

检测类型

cs3Label

Threat Type

cs4

Real-time

file system protection

扫描程序 ID

cs4Label

Scanner ID

cs5

virlog.dat

扫描 ID

cs5Label

Scan ID

cs6

Failed to remove file

“操作”失败时的错误消息

cs6Label

Action Error

cs7

Event occurred on a newly created file

造成该事件的简短说明

cs7Label

Circumstances

cs8

0000000000000000000000000000000000000000

（检测）数据流的 SHA1 哈希。

cs8Label

Hash

act

Cleaned by deleting file

端点执行的操作

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

对象 URI

fileType

File

与事件相关的对象类型

cn1

1

检测已处理 (1) 或未处理 (0)

cn1Label

Handled

cn2

0

重新启动需要 (1) 或不需要 (0)

cn2Label

Restart Needed

suser

172-MG\\Administrator

与事件关联的用户帐户的名称

sprod

C:\\7-Zip\\7z.exe

事件源进程的名称

deviceCustomDate1

Jun 04 2019 14:10:00

deviceCustomDate1Label

FirstSeen

此计算机上首次发现检测的时间和日期。该格式为 %b %d %Y %H:%M:%S

ESETProtectDetectionUuid

4a1e0af2-ed5f-42cb-bb29-eee2600d57c7

检测的唯一标识符，可用于通过 ESET CONNECT API 查询检测的详细信息

msg

TCP Port Scanning attack

事件名称

src

127.0.0.1

事件源 IPv4 地址

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

事件源 IPv6 地址

c6a2Label

Source IPv6 Address

spt

36324

事件来源端口

dst

127.0.0.2

事件目标 IPv4 地址

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

事件目标 IPv6 地址

c6a3Label

Destination IPv6 Address

dpt

24

事件目标端口

proto

http

协议

act

Blocked

已采取操作

cn1

1

检测已处理 (1) 或未处理 (0)

cn1Label

Handled

suser

172-MG\\Administrator

与事件关联的用户帐户的名称

deviceProcessName

someApp.exe

与事件关联的进程的名称

deviceDirection

1

连接已入站 (0) 或已出站 (1)

cnt

3

端点在 ESET PROTECT 和 ESET Management 服务器代理之间的两次连续复制之间生成的同一消息的数量

cs1

规则 ID

cs1Label

Rule ID

cs2

custom_rule_12

规则名称

cs2Label

Rule Name

cs3

Win32/Botnet.generic

威胁名称

cs3Label

Threat Name

ESETProtectDetectionUuid

ffd50742-cb15-4c7a-9409-c597c4dc512b

检测的唯一标识符，可用于通过 ESET CONNECT API 查询检测的详细信息

cs1

Suspicious attempt to launch an application

规则 ID

cs1Label

Rule ID

cs2

custom_rule_12

规则名称

cs2Label

Rule Name

cs3

C:\\someapp.exe

应用程序名称

cs3Label

Application

cs4

Attempt to run a suspicious object

操作

cs4Label

Operation

cs5

C:\\somevirus.exe

目标

cs5Label

Target

act

Blocked

已采取操作

cs2

custom_rule_12

规则名称

cn1

1

检测已处理 (1) 或未处理 (0)

cn1Label

Handled

cnt

3

端点在 ESET PROTECT 和 ESET Management 服务器代理之间的两次连续复制之间生成的同一消息的数量

ESETProtectDetectionUuid

bf84a564-ac25-4c87-b72f-0031592d2a2d

检测的唯一标识符，可用于通过 ESET CONNECT API 查询检测的详细信息

act

Login attempt

正在发生的操作

suser

Administrator

涉及的安全用户

duser

Administrator

目标安全用户（例如，用于登录尝试）

msg

Authenticating native user 'Administrator'

操作的详细说明

cs1

Native user

审核日志域

cs1Label

Audit Domain

cs2

Success

操作结果

cs2Label

Result

deviceProcessName

c:\\imagepath_bin.exe

导致此警报的进程的名称

suser

HP\\home

进程所有者

cs2

custom_rule_12

触发此警报的规则的名称

cs2Label

Rule Name

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

警报 SHA1 哈希

cs3Label

Hash

cs4

https://inspect.eset.com:443/console/alarm/126

指向 ESET Inspect Web 控制台中的警报的链接

cs4Label

EI Console Link

cs5

126

警报链接的 ID 子部分（^http.*/alarm/([0-9]+)$ 中的 $1）

cs5Label

EI Alarm ID

cn1

275

计算机严重级别评分

cn1Label

ComputerSeverityScore

cn2

60

规则严重级别评分

cn2Label

SeverityScore

cnt

3

自上次警报以来生成的类型相同的警报数量

ESETProtectDetectionUuid

52a461ff-84e1-4ce6-b223-87c9cc8253ac

检测的唯一标识符，可用于通过 ESET CONNECT API 查询检测的详细信息

ESETProtectTriggerEvent

Test Trigger

触发检测的事件描述

ESETProtectCommandLine

C:\\Windows\\System32\\cmd.exe

触发检测的进程的命令行

act

Execution blocked

已采取操作

cn1

1

检测已处理 (1) 或未处理 (0)

cn1Label

Handled

suser

HP\\home

与事件关联的用户帐户的名称

deviceProcessName

C:\\Windows\\explorer.exe

与事件关联的进程的名称

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

阻止的文件的 SHA1 哈希

cs1Label

Hash

filePath

C:\\totalcmd\\TOTALCMD.EXE

对象 URI

msg

ESET Inspect

阻止的文件说明

deviceCustomDate1

Jun 04 2019 14:10:00

deviceCustomDate1Label

FirstSeen

此计算机上首次发现检测的时间和日期。该格式为 %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

原因

cs2Label

Cause

ESETProtectDetectionUuid

47260aff-bec7-46a6-bca2-7cb47b5e746b

检测的唯一标识符，可用于通过 ESET CONNECT API 查询检测的详细信息

msg

An attempt to connect to URL

事件类型

act

Blocked

已采取操作

cn1

1

检测已处理 (1) 或未处理 (0)

cn1Label

Handled

suser

Peter

与事件关联的用户帐户的名称

deviceProcessName

Firefox

与事件关联的进程的名称

cs1

Blocked by PUA blacklist

规则 ID

cs1Label

Rule ID

requestUrl

https://kenmmal.com/

被阻止请求的 URL

dst

172.17.9.224

事件目标 IPv4 地址

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

事件目标 IPv6 地址

c6a3Label

Destination IPv6 Address

cs2

HTTP filter

扫描程序 ID

cs2Label

Scanner ID

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

过滤的对象的 SHA1 哈希

cs3Label

Hash

ESETProtectDetectionUuid

48083f11-1a99-4f2a-8107-7bdd3ab99237

检测的唯一标识符，可用于通过 ESET CONNECT API 查询检测的详细信息