匯出為 CEF 格式的事件

若要過濾傳送至系統日誌的事件防護記錄，請使用已定義的過濾器來建立防護記錄類別通知。

CEF 是由 ArcSight™ 所開發，基於文字的防護記錄格式。CEF 格式包括 CEF 檔頭和 CEF 副檔名。副檔名包含鍵值配對的清單。

CEF 檔頭

檔頭	範例	說明
Device Vendor	ESET
Device Product	ProtectCloud
Device Version	10.0.5.1	ESET PROTECT 版本
Device Event Class ID (Signature ID):	109	裝置事件類別唯一識別碼： •100-199 威脅事件 •200-299 防火牆事件 •300–399 HIPS 事件 •400–499 審查事件 •500–599 ESET Inspect 事件 •600-699 封鎖的檔案事件 •700-799 已過濾的網站事件
Event Name	Detected port scanning attack	該事件所發生情況簡短說明
Severity	5	嚴重性: •2 – 資訊 •3 – 通知 •5 – 警告 •7 – 錯誤 •8 – 嚴重 •10 – 重大

CEF 副檔名共通於所有類別

副檔名	範例	說明
cat	ESET Threat Event	事件類別： •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	產生事件的電腦 IPv4 位址。
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	產生事件的電腦 IPv6 位址。
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	包含事件的電腦的主機名稱
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	產生事件之電腦的 UUID。
rt	Jun 04 2017 14:10:0	事件發生的 UTC 時間。格式為 %b %d %Y %H:%M:%S
ESETProtectDeviceGroupName	All/Lost & found	產生事件之電腦的靜態群組的完整路徑。如果路徑超過 255 個字元，則 ESETProtectDeviceGroupName 僅包含靜態群組名稱。
ESETProtectDeviceOsName	Microsoft Windows 11 Pro	有關電腦作業系統的資訊。
ESETProtectDeviceGroupDescription	Lost & found static group	靜態群組說明。

CEF 副檔名 (按事件類別分類)

威脅事件

副檔名	範例	說明
cs1	W97M/Kojer.A	發現威脅名稱
cs1Label	Threat Name
cs2	25898 (20220909)	偵測引擎版本
cs2Label	Engine Version
cs3	Virus	偵測類型
cs3Label	Threat Type
cs4	Real-time file system protection	掃描器 ID
cs4Label	Scanner ID
cs5	virlog.dat	掃描 ID
cs5Label	Scan ID
cs6	Failed to remove file	「動作」不成功時產生的錯誤訊息
cs6Label	Action Error
cs7	Event occurred on a newly created file	事件發生原因的簡短說明
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	(偵測) 資料流的 SHA1 雜湊。
cs8Label	Hash
act	Cleaned by deleting file	由端點執行的處理方法
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	物件 URI
fileType	File	與事件相關的物件類型
cn1	1	偵測已處理 (1) 或未處理 (0)
cn1Label	Handled
cn2	0	需要 (1) 或者不需要 (0) 重新啟動
cn2Label	Restart Needed
suser	172-MG\\Administrator	與事件相關的使用者帳戶
sprod	C:\\7-Zip\\7z.exe	事件來源處理程序的名稱
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	此電腦上首次發現偵測的時間和日期。格式為 %b %d %Y %H:%M:%S
ESETProtectDetectionUuid	4a1e0af2-ed5f-42cb-bb29-eee2600d57c7	偵測的唯一識別碼，可透過 ESET CONNECT API 用於查詢偵測的詳細資料

威脅事件 CEF 防護記錄範例：

防火牆事件

副檔名	範例	說明
msg	TCP Port Scanning attack	事件名稱
src	127.0.0.1	事件來源 IPv4 位址
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	事件來源 IPv6 位址
c6a2Label	Source IPv6 Address
spt	36324	事件來源的連接埠
dst	127.0.0.2	事件目的地 IPv4 位址
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	事件目的地 IPv6 位址
c6a3Label	Destination IPv6 Address
dpt	24	事件目的地連接埠
proto	http	通訊協定
act	Blocked	已採取行動
cn1	1	偵測已處理 (1) 或未處理 (0)
cn1Label	Handled
suser	172-MG\\Administrator	與事件相關的使用者帳戶
deviceProcessName	someApp.exe	與事件相關的程序名稱
deviceDirection	1	連接是外來 (0) 或對外 (1)
cnt	3	由 ESET PROTECT 和 ESET Management 代理程式之間的兩個連續副本之間端點產生的相同訊息數量
cs1		規則 ID
cs1Label	Rule ID
cs2	custom_rule_12	規則名稱
cs2Label	Rule Name
cs3	Win32/Botnet.generic	威脅名稱
cs3Label	Threat Name
ESETProtectDetectionUuid	ffd50742-cb15-4c7a-9409-c597c4dc512b	偵測的唯一識別碼，可透過 ESET CONNECT API 用於查詢偵測的詳細資料

防火牆事件 CEF 防護記錄範例：

事件 HIPS

副檔名	範例	說明
cs1	Suspicious attempt to launch an application	規則 ID
cs1Label	Rule ID
cs2	custom_rule_12	規則名稱
cs2Label	Rule Name
cs3	C:\\someapp.exe	應用程式名稱
cs3Label	Application
cs4	Attempt to run a suspicious object	作業
cs4Label	Operation
cs5	C:\\somevirus.exe	目標
cs5Label	Target
act	Blocked	已採取行動
cs2	custom_rule_12	規則名稱
cn1	1	偵測已處理 (1) 或未處理 (0)
cn1Label	Handled
cnt	3	由 ESET PROTECT 和 ESET Management 代理程式之間的兩個連續副本之間端點產生的相同訊息數量
ESETProtectDetectionUuid	bf84a564-ac25-4c87-b72f-0031592d2a2d	偵測的唯一識別碼，可透過 ESET CONNECT API 用於查詢偵測的詳細資料

HIPS 事件 CEF 防護記錄範例

審查事件

副檔名	範例	說明
act	Login attempt	採取處理方法
suser	Administrator	有關的安全性使用者
duser	Administrator	目標安全使用者 (例如，用於登入嘗試)
msg	Authenticating native user 'Administrator'	處理方法的詳細說明
cs1	Native user	審查記錄檔網域
cs1Label	Audit Domain
cs2	Success	處理方法結果
cs2Label	Result

審查事件 CEF 防護記錄範例：

事件 ESET Inspect

副檔名	範例	說明
deviceProcessName	c:\\imagepath_bin.exe	造成此警示的程序名稱
suser	HP\\home	處理程序擁有者
cs2	custom_rule_12	觸發此警示的規則名稱
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	警報 SHA1 雜湊
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	在 Web 主控台中連結到 ESET Inspect 警報
cs4Label	EI Console Link
cs5	126	警示連結的 ID 子部分 (^http.*/alarm/([0-9]+)$ 中的 $1)
cs5Label	EI Alarm ID
cn1	275	電腦嚴重性評分
cn1Label	ComputerSeverityScore
cn2	60	規則嚴重性評分
cn2Label	SeverityScore
cnt	3	自上一次警報以來產生的相同類型警示的數量
ESETProtectDetectionUuid	52a461ff-84e1-4ce6-b223-87c9cc8253ac	偵測的唯一識別碼，可透過 ESET CONNECT API 用於查詢偵測的詳細資料
ESETProtectTriggerEvent	Test Trigger	觸發偵測的事件說明
ESETProtectCommandLine	C:\\Windows\\System32\\cmd.exe	觸發偵測的程序命令列

ESET Inspect 事件 CEF 防護記錄範例

封鎖的檔案事件

副檔名	範例	說明
act	Execution blocked	已採取行動
cn1	1	偵測已處理 (1) 或未處理 (0)
cn1Label	Handled
suser	HP\\home	與事件相關的使用者帳戶
deviceProcessName	C:\\Windows\\explorer.exe	與事件相關的程序名稱
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	封鎖的檔案 SHA1 雜湊
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	物件 URI
msg	ESET Inspect	封鎖的檔案說明
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	此電腦上首次發現偵測的時間和日期。格式為 %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	原因
cs2Label	Cause
ESETProtectDetectionUuid	47260aff-bec7-46a6-bca2-7cb47b5e746b	偵測的唯一識別碼，可透過 ESET CONNECT API 用於查詢偵測的詳細資料

已封鎖的檔案事件 CEF 防護記錄範例

已過濾的網站事件

副檔名	範例	說明
msg	An attempt to connect to URL	事件類型
act	Blocked	已採取行動
cn1	1	偵測已處理 (1) 或未處理 (0)
cn1Label	Handled
suser	Peter	與事件相關的使用者帳戶
deviceProcessName	Firefox	與事件相關的程序名稱
cs1	Blocked by PUA blacklist	規則 ID
cs1Label	Rule ID
requestUrl	https://kenmmal.com/	封鎖要求的 URL
dst	172.17.9.224	事件目的地 IPv4 位址
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	事件目的地 IPv6 位址
c6a3Label	Destination IPv6 Address
cs2	HTTP filter	掃描器 ID
cs2Label	Scanner ID
cs3	8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5	已過濾物件的 SHA1 雜湊
cs3Label	Hash
ESETProtectDetectionUuid	48083f11-1a99-4f2a-8107-7bdd3ab99237	偵測的唯一識別碼，可透過 ESET CONNECT API 用於查詢偵測的詳細資料

過濾的網站事件 CEF 防護記錄範例：

˄˅