MA : Créer une alerte personnalisée au format CEF

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique donne des instructions sur la création d'alertes personnalisées au format Common Event Format (CEF) pour envoyer à un service qui intègre des événements CEF. Il s'agit d'une tâche de configuration avancée qui nécessite des connaissances suffisantes pour modifier manuellement le fichier de configuration /var/lib/rsamalware/spectrum/conf/malwareCEFDictionaryConfiguration.xml. Avant de modifier le fichier, vous devez arrêter le service Malware Analysis sur le système d'exploitation. L'alerte CEF s'active lorsque vous redémarrez le service Malware Analysis.

Modèle CEF

Pour envoyer des événements à un service d'acquisition d'événements tel que CEF, Security Analytics traite ces événements via un fichier de configuration qui sert de modèle CEF, avant de les soumettre à une technologie de corrélation. Vous pouvez modifier le fichier de configuration selon vos besoins. Celuici spécifie la séquence et le mappage des champs syslog dans chaque alerte.

L’exemple de message syslog suivant présente les champs CEF dans la section extensions de l’alerte (après le dernier ' |' dans l’alerte). Chaque champ peut être configuré pour indiquer la séquence (décrite dans la section Exemple ci-dessous). Les champs peuvent être exclus entièrement à partir de l’alerte via un paramètre de configuration.

CEF:0|NetWitness|Spectrum|10.3.0.7995.1.0|Suspicious Event|Detected suspicious network event ID 4 session ID n/a|2|static=100.0 nextgen=25.0 community=100.0 sandbox=25.0 file.name=myFile.exe file.size=1234556 file.md5.hash=DEADBEEFBABECAFEDEADBEEFBABECAFE event.source=spectrum://admin@0:0:0:0:0:0:0:1:64563 event.type=MANUAL_UPLOAD event.id=0 country.dst.code=-- country.dst=Unavailable ip.src=0:0:0:0:0:0:0:1 ip.dst=0:0:0:0:0:0:0:1 event.uuid=f7a6155a-31de-4fa6-ba16-41fb9a8e5f26 ...

Comprendre une entrée de fichier d'audit Syslog

La description de la structure de fichiers se base sur l’exemple suivant.

Feb 6 10:02:28 10.10.10.125 SpectrumServer125

CEF: 0|NetWitness|Spectrum|1.2.1.130|Suspicious Event|Detected suspicious
network event ID 857 session ID 73|2|

static=100.0 network=29.0 community=8.0 sandbox=N/R

file.name=-CVE-00_DOC_2010-05-13_attachment.doc file.size=0 file.md5.hash=20a29259c0e5958afb2f50c4177bb307

com.netwitness.event.internal.id=73 com.netwitness.event.internal.uuid=37d2bad7-06bc-4b34-88e1-df43d9710204 alias.ip=10.25.50.149 client=Wget/1.11.4 Red Hat modified payload=108872 packets=136 country.dst=Private time=Fri Jan 27 10:09:25 EST 2012 threat.source=netwitness tcp.srcport=43580 action=get com.netwitness.event.internal.source=http://QASpectrum2:50104/sdk filetype=rtf alias.host=qa-fc12-149 eth.src=00:25:90:18:76:E2 ip.proto=6 tcp.flags=27 ip.src=10.25.50.61 tcp.dstport=80 threat.category=spectrum eth.dst=00:0C:29:F8:50:2D lifetime=0 alert.id=nw32535 sessionid=73 medium=1 size=117864 content=spectrum.consume11 extension=doc directory=/files/MALWAREMALWARE/OfficeDocs/DOC/ eth.type=2048 ip.dst=10.25.50.149 service=80 filename=-CVE-00_DOC_2010-05-13_attachment.doc server=Apache/2.2.13 (Fedora) streams=2 referer=http://qa-fc12-149/files/MALWAREMALW...fficeDocs/DOC/ risk.info=http client server version mismatch

Première ligne

Feb 6 10:02:28 10.10.10.125 SpectrumServer125

                     
Informations sur le journalDescription
Feb 6 10:02:28Horodatage de l'entrée.
10.10.10.125Adresse IP source de l'événement.
SpectrumServer125Nom d'hôte source de l'événement.

En-tête CEF (Common Event Format) d'audit

0|NetWitness|Spectrum|1.2.1.130|Suspicious Event|Detected suspicious network event ID 857 session ID 73|2|

L'en-tête d'audit CEF est une liste dont les valeurs sont séparées par des barres obliques dans les champs suivants :

                                     
Informations sur le journalDescription
0Version ArcSight CEF (Common Event Format) utilisée pour le Syslog d'audit.
NetWitnessService ayant créé le message Syslog.
SpectrumSecurity Analytics Malware Analysis est l’enregistreur de l’événement.
1.2.1.130Version de Security Analytics Malware Analysis.
event ID 857ID d'événement réseau unique pour cet événement.
session ID 73ID de session unique Security Analytics Core pour la session qui a inclus cet événement.
2Gravité, le nombre entier compris entre 1 et 6 indique le niveau de gravité du message.
  • 1 = INFORMATION_LEVEL
  • 2 = WARNING_LEVEL
  • 3 = ERROR_LEVEL
  • 4 = SUCCESS_LEVEL
  • 5 = FAILURE_LEVEL
  • 6 = AUDIT_FAILURE_LEVEL

Extension CEF d'audit

static=100.0 network=29.0 community=8.0 sandbox=N/R

file.name=-CVE-00_DOC_2010-05-13_attachment.doc  file.size=0 file.md5.hash=20a29259c0e5958afb2f50c4177bb307 com.netwitness.event.internal.id=73

com.netwitness.event.internal.uuid=37d2bad7-06bc-4b34-88e1-df43d9710204 alias.ip=10.25.50.149 client=Wget/1.11.4 Red Hat modified payload=108872 packets=136 country.dst=Private time=Fri Jan 27 10:09:25 EST 2012 threat.source=netwitness tcp.srcport=43580 action=get com.netwitness.event.internal.source=http://QASpectrum2:50104/sdk filetype=rtf alias.host=qa-fc12-149 eth.src=00:25:90:18:76:E2 ip.proto=6 tcp.flags=27 ip.src=10.25.50.61 tcp.dstport=80 threat.category=spectrum eth.dst=00:0C:29:F8:50:2D lifetime=0 alert.id=nw32535 sessionid=73 medium=1 size=117864 content=spectrum.consume11 extension=doc directory=/files/MALWAREMALWARE/OfficeDocs/DOC/ eth.type=2048 ip.dst=10.25.50.149 service=80 filename=-CVE-00_DOC_2010-05-13_attachment.doc server=Apache/2.2.13 (Fedora) streams=2 referer=http://qa-fc12-149/files/MALWAREMALW...fficeDocs/DOC/ risk.info=http client server version mismatch

Scores d'analyse

La première entrée de l'extension CEF d'audit fournit les quatre scores d'analyse Security Analytics Malware Analysis pour l'événement : Statique, Réseau, Communauté et Sandbox

                         
Informations sur le journalValeur d'échantillon
static100.0
network29.0
community8.0
Un score de 0.0 peut être un score communautaire pour l'événement ou peut indiquer qu'il n'y a pas de services communautaires activés.
sandboxN/R
N/R signifie « non exécuté ». Cela indique que le sandbox GFI n'a pas été activé.

Informations sur le fichier

Les trois prochaines entrées fournissent des informations sur les fichiers : nom du fichier, taille et hachage.

                     
Informations sur le journalValeur d'échantillon
file.name-CVE-00_DOC_2010-05-13_attachment.doc
file.size0
file.md5.hash20a29259c0e5958afb2f50c4177bb307

Métadonnées d'événement récupérées par NextGen

L’enregistrement se poursuit avec les métadonnées Security Analytics Core de l’événement. Les métadonnées du message sont liées à l'événement. La quantité de données contenues dans le message est tronquée à la longueur maximale d'octets configurée dans les paramètres Syslog. La valeur par défaut est 1024.

                                                                                                                                                             
Informations sur le journalValeur d'échantillon
com.netwitness.event.internal.id73
com.netwitness.event.internal.uuid37d2bad7-06bc-4b34-88e1-df43d9710204
alias.ip10.25.50.149
clientWget/1.11.4 Red Hat modified
payload108872
packets136
country.dstPrivé
tempsFri Jan 27 10:09:25 EST 2012
threat.sourcenetwitness
tcp.srcport43580
Actionget
com.netwitness.event.internal.sourcehttp://QASpectrum2:50104/sdk
filetypertf
alias.hostqa-fc12-149
eth.src00:25:90:18:76:E2
ip.proto6
tcp.flags27
ip.src10.25.50.61
tcp.dstport80
threat.categoryspectrum
eth.dst00:0C:29:F8:50:2D
durée de vie0
alert.idnw32535
sessionid73
moyen1
taille117864
contenuspectrum.consume11
extensiondoc
directory/files/MALWAREMALWARE/OfficeDocs/DOC/
eth.type2048
ip.dst10.25.50.149
service80
filename-CVE-00_DOC_2010-05-13_attachment.doc
serveur Apache/2.2.13 (Fedora)
streams2
refererhttp://qa-fc12-149/files/MALWAREMALWARE/OfficeDocs/DOC/
risk.infohttp client server version mismatch

Modifier le fichier de configuration

  1. Arrêtez le service Malware Analysis.
  2. Modifiez le fichier de configuration comme indiqué dans l'exemple.
  3. Démarrez le service Malware Analysis.
    Le service Malware Analysis commence à traiter les alertes via le fichier de configuration, puis envoie les alertes CEF aux services désignés.

Exemple 

Vous pouvez utiliser le fichier de configuration pour définir les champs qui doivent figurer dans l'alerte résultante, le libellé associé à chaque champ et l'ordre d'apparition des champs de données. Le fichier de configuration est constitué d'un ou de plusieurs blocs XML MalwareCefExtension, comme indiqué dans l'exemple ci-dessous. L'ordre de ces blocs dans le fichier de configuration détermine l'ordre des champs de données dans l'alerte CEF.  

Dans l’exemple ci-dessous, l’alerte CEF comprend deux champs de données, ip.src suivi par ip.dstcustomKey sert à indiquer le libellé du champ de données dans l’alerte. Cela permet à l’utilisateur de choisir un libellé personnalisé afin de forcer le format d’alerte et mieux répondre aux attentes du consommateur d’alerte. En d’autres termes, le format peut être réglé pour empêcher toute modification ou suppression indésirable apportée à un parseur d’alerte existant. Enfin, le paramètre isDisplay détermine si le champ est inclus dans la sortie d'alerte. Cela permet à l'utilisateur de désactiver les champs de données sans avoir à supprimer physiquement le bloc MalwareCefExtension de la configuration.

 <config>

 <malwareExtensionList>

<com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.src</customKey>

      <malwareKey>ip.src</malwareKey>

      <isDisplay>true</isDisplay>

</com.netwitness.malware.core.cef.MalwareCefExtension>

<com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.dst</customKey>

      <malwareKey>ip.dst</malwareKey>

      <isDisplay>true</isDisplay>

</com.netwitness.malware.core.cef.MalwareCefExtension>

 </malwareExtensionList>

</config>

À la fin du fichier de configuration, vous disposez de trois paramètres supplémentaires pour régler le format d'alerte. Il s'agit des paramètres suivants :

                  
ParamètreDescription
includesUnknownMetaLe paramètre true ou false indique si les éléments de données inconnus sont inclus dans l'alerte résultante. Les métadonnées de session NextGen peuvent éventuellement être incluses dans une alerte CEF.
Dans la mesure où des métadonnées de session supplémentaires peuvent être introduites via la création de parsers NextGen, il est possible que des métadonnées non contenues dans la configuration par défaut soient présentes. Vous pouvez affecter la valeur true à includesUnknownMeta pour inclure les métadonnées inconnues dans l'alerte et leur attribuer un libellé basé sur le nom de la clé méta NextGen. Pour forcer une clé personnalisée d'une métadonnée inconnue, vous devez modifier ce fichier et ajouter un nouveau bloc MalwareCefExtension au dictionnaire.  
Pour omettre les métadonnées inconnues de l'alerte, affectez la valeur false à includesUnknownMeta.
displayNullsLe paramètre true ou false indique si les valeurs null sont incluses dans l'alerte. Si displayNulls a la valeur false, les champs de valeur null sont omis, même si la propriété MalwareCefExtension isDisplay est activée. Ainsi, la mise en forme dynamique des alertes peut exclure les champs de valeur null.
valueIfNullLe paramètre true ou false vous permet de spécifier un espace réservé sous forme de chaîne (n/a par défaut) utilisable en tant que valeur pour tous les champs null. Si displayNulls a la valeur true, les champs de valeur null sont inclus dans les alertes. Leur valeur est définie en fonction de la valeur spécifiée dans valueIfNull.

Ce qui suit représente le fichier de configuration CEF par défaut. Le fichier de configuration par défaut inclut toutes les métadonnées de session NextGen par défaut.

<config>

  <malwareExtensionList>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>static</customKey>

      <malwareKey>static</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>nextgen</customKey>

      <malwareKey>nextgen</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>community</customKey>

      <malwareKey>community</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>sandbox</customKey>

      <malwareKey>sandbox</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.name</customKey>

      <malwareKey>file.name</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.size</customKey>

      <malwareKey>file.size</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.md5.hash</customKey>

      <malwareKey>file.md5.hash</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.source</customKey>

      <malwareKey>event.source</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.type</customKey>

      <malwareKey>event.type</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.id</customKey>

      <malwareKey>event.id</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.uuid</customKey>

      <malwareKey>event.uuid</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.primary.detected</customKey>

      <malwareKey>antivirus.primary.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.secondary.detected</customKey>

      <malwareKey>antivirus.secondary.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.other.detected</customKey>

      <malwareKey>antivirus.other.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.dst.code</customKey>

      <malwareKey>country.dst.code</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>city.dst</customKey>

      <malwareKey>city.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>org.dst</customKey>

      <malwareKey>org.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>payload</customKey>

      <malwareKey>payload</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>packets</customKey>

      <malwareKey>packets</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.dst</customKey>

      <malwareKey>country.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>time</customKey>

      <malwareKey>time</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.source</customKey>

      <malwareKey>threat.source</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.srcpport</customKey>

      <malwareKey>tcp.srcpport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>filetype</customKey>

      <malwareKey>filetype</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>latdec.dst</customKey>

      <malwareKey>latdec.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.src</customKey>

      <malwareKey>eth.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>agency.dst</customKey>

      <malwareKey>agency.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.proto</customKey>

      <malwareKey>ip.proto</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.flags</customKey>

      <malwareKey>tcp.flags</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.src</customKey>

      <malwareKey>ip.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.dstport</customKey>

      <malwareKey>tcp.dstport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.category</customKey>

      <malwareKey>threat.category</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.dst</customKey>

      <malwareKey>eth.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>lifetime</customKey>

      <malwareKey>lifetime</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>latdec.src</customKey>

      <malwareKey>latdec.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>did</customKey>

      <malwareKey>did</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>alert.id</customKey>

      <malwareKey>alert.id</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.src</customKey>

      <malwareKey>country.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>sessionid</customKey>

      <malwareKey>sessionid</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>longdec.src</customKey>

      <malwareKey>longdec.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>medium</customKey>

      <malwareKey>medium</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>size</customKey>

      <malwareKey>size</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.domain.dst</customKey>

      <malwareKey>ad.computer.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.computer.dst</customKey>

      <malwareKey>ad.computer.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.username.src</customKey>

      <malwareKey>ad.username.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rpackets</customKey>

      <malwareKey>rpackets</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>action</customKey>

      <malwareKey>action</malwareKey>

      <isDisplay>false</isDisplay>

   </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.domain.src</customKey>

      <malwareKey>ad.domain.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.src.vendor</customKey>

      <malwareKey>eth.src.vendor</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rpayload</customKey>

      <malwareKey>rpayload</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.username.dst</customKey>

      <malwareKey>ad.username.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>content</customKey>

      <malwareKey>content</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>extension</customKey>

      <malwareKey>extension</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.dst.vendor</customKey>

      <malwareKey>eth.dst.vendor</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rid</customKey>

      <malwareKey>rid</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>directory</customKey>

      <malwareKey>directory</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.suspicious</customKey>

      <malwareKey>risk.suspicious</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.type</customKey>

      <malwareKey>eth.type</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.dst</customKey>

      <malwareKey>ip.dst</malwareKey>

      <isDisplay>false</isDisplay>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>service</customKey>

      <malwareKey>service</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>filename</customKey>

      <malwareKey>filename</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>streams</customKey>

      <malwareKey>streams</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.info</customKey>

      <malwareKey>risk.info</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>dest.tld</customKey>

      <malwareKey>dest.tld</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>alias.host</customKey>

      <malwareKey>alias.host</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.srcport</customKey>

      <malwareKey>tcp.srcport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>udp.srcport</customKey>

      <malwareKey>udp.srcport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>udp.dstport</customKey>

      <malwareKey>udp.dstport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>domain.dst</customKey>

      <malwareKey>domain.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>feed.name</customKey>

      <malwareKey>feed.name</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>feed.description</customKey>

      <malwareKey>feed.description</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.description</customKey>

      <malwareKey>threat.description</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>referer</customKey>

      <malwareKey>referer</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>client</customKey>

      <malwareKey>client</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>server</customKey>

      <malwareKey>server</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.warning</customKey>

      <malwareKey>risk.warning</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>attachment</customKey>

      <malwareKey>attachment</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.registrar</customKey>

      <malwareKey>whois.registrar</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.registrant</customKey>

      <malwareKey>whois.registrant</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.date.creation</customKey>

      <malwareKey>whois.date.creation</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.server</customKey>

      <malwareKey>whois.server</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

  </malwareExtensionList>

  <includesUnknownMeta>false</includesUnknownMeta>

  <displayNulls>false</displayNulls>

  <valueIfNull>n/a</valueIfNull>

</config>

You are here
Table of Contents > Procédures supplémentaires > Créer une alerte personnalisée au format CEF

Attachments

    Outcomes