샘플 CEF 및 Syslog 알림
샘플 CEF, LEEF 및 Syslog 알림 예는 이 섹션의 다양한 이벤트 유형에 대해 표시됩니다.
이벤트 유형별 각 <extension> 필드 키에 대한 정의는 CEF 확장 필드 키=값 쌍 정의 섹션에 나와 있습니다
메모:
값이 null이면 레이블이 알림에 계속 표시됩니다. 예를 들어, dst= 및 filename은 CEF 메시지에서 비어 있습니다.
eventId=13423 lastActivityTime=2016-7-26 21:50:50+00 dst= fileHash=c01e057e6b7115057d9465311346f198a7fed574 fileName= fileType=PE32 executable
CEF 피싱 이벤트 예:
피싱 이벤트는 CEF/Syslog에 포함되어 있습니다. 몇 가지 예를 들면 다음과 같습니다.
예제 1: 악성 URL과 첨부 파일이 모두 포함된 이메일
Dec 6 16:52:22 IP Dec 06 16:51:38 hostname
CEF:0|JATP|Cortex|3.6.0.1444|email|Phishing|8|externalId=1504
eventId=14067 lastActivityTime=2016-12-06 23:51:38+00 src= dst=
src_hostname= dst_hostname= src_username= dst_username=
mailto:src_email_id=src@abc.comdst_email_id={mailto:test@abc.com} startTime=2016-12- 06 23:51:38+00 url=http://greatfilesarey.asia/QA/files_to_pcaps/74280968a4917da52b5555351eeda969.bin
fileHash=bce00351cfc559afec5beb90ea387b03788e4af5 fileType=PE32
executable (GUI) Intel 80386, for MS Windows
예제 2: 악성 첨부 파일이 있는 여러 수신자에게 보낸 이메일
Dec 9 19:47:19 IP Dec 09 19:49:36 hostname
CEF:0|JATP|Cortex|3.6.0.1444|email|TROJAN_GIPPERS.DC|8|externalId=1505
eventId=14068 lastActivityTime=2016-05-10 02:49:36+00 src= dst=
src_hostname= dst_hostname= src_username= dst_username=
mailto:src_email_id=src@abc.com
dst_email_id={mailto:test1@abc.com,mailto:test2@abc.com,mailto:test3@abc.com}
fileHash=bce00351cfc559afec5beb90ea387b03788e4af5 fileType=PE32
executable (GUI) Intel 80386, for MS Windows startTime=2016-05-10
02:49:36.000000+00
예제 3: 여러 개의 잘못된 URL(공백으로 구분) 및 첨부 파일을 사용하여 여러 수신자에게 보낸 이메일
Dec 3 16:42:24 IP Dec 03 16:42:54 hostname
CEF:0|JATP|Cortex|3.6.0.1444|email|Phishing|8|externalId=1499
eventId=14058 lastActivityTime=2016-05-03 23:42:54+00 src= dst=
src_hostname= dst_hostname= src_username= dst_username=
mailto:src_email_id=src@abc.com
dst_email_id={mailto:test1@abc.com,mailto:test2@abc.com,mailto:test3@abc.com} startTime=2016-
05-03 23:42:54+00 url=http://greatfilesarey.asia/QA/files_to_pcaps/
74280968a4917da52b5555351eeda969.bin http://greatfilesarey.asia/QA/
files_to_pcaps/1813791bcecf3a3af699337723a30882.bin
fileHash=bce00351cfc559afec5beb90ea387b03788e4af5 fileType=PE32
executable (GUI) Intel 80386, for MS Windows
예제 4: Active Directory에서 ID 정보를 가져오는 감염 이벤트
Dec 2 17:17:25 IP Dec 02 17:08:08 hostname
CEF:0|JATP|Cortex|3.6.0.1444|cnc|TROJAN_DUSVEXT.CY|10|externalId=1489
eventId=14046 lastActivityTime=2016-05-03 00:08:08.349+00
src=31.170.165.131 dst=172.20.1.201 src_hostname=
dsthostname=emailuser-host src_username= dst_username=emailuser
malwareSeverity=0.75 malwareCategory=Trojan_Generic
cncServers=31.170.165.131
CEF 시스템 상태 알림 예:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.3|3|services-health|5|desc=Behavior Engine is
not running json={"status": "0", "service": "Behavior Engine"}
source = udp:514 sourcetype = syslog
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.3|3|appliance-connect-health|5|desc=Lost
connection to web_collector upgrade (10.2.11.107) for 10 minutes
json={"ip": "10.2.11.107", "age": 10.3804142, "type": "web_collector",
"appliance": "upgrade", "pretty_age": "10 minutes"}
Syslog 시스템 상태 알림 예:
<134>Nov 24 17:22:56 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|3|traffic-health|5|desc=10.2.20.54
(10.2.20.54) received 0 KB of monitor traffic over last 10 minutes
json={"pretty_age": "10 minutes", "ip": "10.2.20.54", "age": 10,
"appliance": "10.2.20.54", "sample_size": 2, "traffic": "0”}
메모:
pcaps의 syslog 헤더에 있는 우선 순위 값은 "134"입니다. 주니퍼 ATP 어플라이언스는 Syslog에서 지원하는 필드에 대한 CEF의 출력을 미러링하여 Syslog 출력을 생성합니다
CEF 다운로드(DL) 멀웨어 이벤트 알림 예
2016-7-11 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.12|http|TROJAN_Zemot.CY|5|eventId=123
src=50.154.149.189 dst=192.168.1.10 startTime=2016-6-30
01:05:16.001+00fileHash=1d81e21db086a2c385696f17f17bdde6d4be04d
fileName=ccaed7c3c6e58a2844c9896246997f62.bin fileType=PE32 executable
(GUI) Intel 80386, for MS Windows startTime=2016-08-11 17:36:39.841+00
Syslog 다운로드(DL) 멀웨어 이벤트 알림 예시
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|http|TROJAN_GIPPERS.DC|8|externalId=374
eventId=13348 lastActivityTime=2016-02-24 05:58:05.151123+00
src=172.16.0.1 dst=10.1.1.26
fileHash=acf69d292d2928c5ddfe5e6af562cd482e6812dc
fileName=79ea1163c0844a2d2b6884a31fc32cc4.bin fileType=PE32 executable
(GUI) Intel 80386, for MS Windows startTime=2016-02-24
05:58:05.151123+00
CEF HTTP 악성코드 이벤트 알림 예
Dec 31 16:43:47 10-3 2016-12-26 18:06:52.333023+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.12|http|TROJAN_FAREIT.DC|10|13405
lastActivityTime=2016-12-26 18:06:52.333023+00 src=172.16.0.1
dst=10.1.1.44 fileHash=6ff61bec9baa970df54c69fbef1209004a01f068
fileName=e309ea0c7271f3845d86621717220479.bin fileType=PE32 executable
(GUI) Intel 80386, for MS Windows startTime=2016-12-26
18:06:52.333023+00
LEEF 이벤트 예시
다운로드를 위한 LEEF 로그
<134>Sep 24 16:23:36 ovf-core.eng.ovf-core.com LEEF:1.0|Cyphort|Cortex|5.0.4.16|http|src=172.16.1.101 dst=172.16.1.105 usrName= devTime=2018-09-24 16:23:36 PDT cat=malware devTimeFormat=yyyy-MM-dd HH:mm:ss z sev=10 dst_hostname= src_hostname= src_username= incidentId=2614 eventId=80543 fileHash=a1e6d991e4464e7c018182951faa468c42ca3937 fileType=Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1251, Author: Jonh Deddi, Last Saved By: Jonh Deddi, Name of Creating Application: Microsoft Excel, Create Time/Date: Mon Aug 24 23:23:16 2015, Last Saved Time/Date: Tue Aug 25 11:54:39 2015, Security: 0 fileName=61646e7802b449ee02f7269129079829b5eae37c0b934b40475f1f0e94409ad4 malwareName=HEUR_MACRO fileHashMd5=7aeea812c00fcf77d4214f430078e3c4 LEEF log for 3rd party log ingestion (Virus scan log from Symantec)
타사 로그 수집을 위한 LEEF 로그(시만텍의 바이러스 검사 로그)
<134>Sep 24 14:23:41 ovf-core.eng.ovf-core.com LEEF:1.0|Cyphort|Cortex|5.0.4.16|third_party|src= dst=169.254.31.242 usrName=Administrator devTime=2018-09-24 14:23:41 PDT cat=malware devTimeFormat=yyyy-MM-dd HH:mm:ss z sev=3 dst_hostname= src_hostname= src_username= incidentId=2613 eventId=80517 malwareName=Virus Scan
피싱 링크와 악성 첨부 파일이 모두 포함된 이메일용 LEEF
<134>Sep 12 12:27:24 ovf-core.eng.ovf-core.com LEEF:1.0|Cyphort|Cortex|5.0.4.12|email|src= dst= usrName= devTime=2018-09-12 12:27:24 PDT cat=malware devTimeFormat=yyyy-MM-dd HH:mm:ss z sev=10 url=http://www.two-of-us.at/images/W.exe http://lm.beilequ.com/update/365/365weatherIns_61.rar http://abc.adamoads.com/fda dst_hostname= src_hostname= src_username= src_email_id=kalyan@cyphort.com dst_email_id=jane.doe@cydevel.com incidentId=2531 eventId=78703 fileHash=1f0b0376c0f39b33673363d61294abfaab9fb837 fileType=Composite Document File V2 Document, Little Endian, Os: Windows, Version 5.1, Code page: 936, Title: PowerPoint Presentation, Last Saved By: MC SYSTEM, Revision Number: 5, Name of Creating Application: Microsoft PowerPoint, Total Editing Time: 01:28, Last Saved Time/Date: Sat Sep 29 04:42:55 2007, Number of Words: 2 malwareName=EXPLOIT_OFFICE_XDS email_msg_id=CABo8cN_mCTN5XAL+G=C4OcVXry7eiKm4uctkguf2Lqvv_KfWrg@mail.gmail.com fileHashMd5=17e9e5a4c807f3d2d50ba512542c982c