MA: Erstellen angepasster Warnmeldungen im CEF-Format

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • Comment0
  • View in full screen mode
 

Dieses Thema enthält Anweisungen zur Erstellung von Warnmeldungen im CEF (Common Event Format)-Format, um sie an einen Service zu senden, der Ereignisse als CEF aufnimmt. Dies ist eine fortgeschrittene Konfigurationsaufgabe, die ausreichende Kenntnisse zur manuellen Bearbeitung der Konfigurationsdatei erfordert: /var/netwitness/malware-analytics-server/spectrum/conf/malwareCEFDictionaryConfiguration.xml. Bevor Sie die Datei bearbeiten, müssen Sie den Malware Analysis-Service im Betriebssystem beenden. Die CEF-Warnmeldung wird aktiv, wenn Sie den Malware Analysis-Service neu starten.

Die CEF-Vorlage

Um Ereignisse an einen Service zu senden, der sie als CEF aufnimmt, lässt NetWitness Suite eine Konfigurationsdatei, die als CEF-Vorlage dient, über die Ereignisse laufen, bevor sie an eine Korrelationstechnologie übergeben werden. Sie können an der Konfigurationsdatei, die die Reihenfolge und Zuordnung von Syslog-Feldern in jeder Warnmeldung angegeben, Einstellungen vornehmen.

Das folgende Beispiel einer Syslog-Meldung zeigt die CEF-Felder im Erweiterungsabschnitt der Warnmeldung an (nach dem letzten '|' in der Warnmeldung). Jedes Feld kann so konfiguriert werden, dass die Reihenfolge angezeigt wird (beschrieben im Beispielabschnitt unten). Felder können über eine Konfigurationseinstellung vollständig aus der Warnmeldung ausgeschlossen werden.

CEF:0|NetWitness|Spectrum|10.3.0.7995.1.0|Suspicious Event|Detected suspicious network event ID 4 session ID n/a|2|static=100.0 nextgen=25.0 community=100.0 sandbox=25.0 file.name=myFile.exe file.size=1234556 file.md5.hash=DEADBEEFBABECAFEDEADBEEFBABECAFE event.source=spectrum://admin@0:0:0:0:0:0:0:1:64563 event.type=MANUAL_UPLOAD event.id=0 country.dst.code=-- country.dst=Unavailable ip.src=0:0:0:0:0:0:0:1 ip.dst=0:0:0:0:0:0:0:1 event.uuid=f7a6155a-31de-4fa6-ba16-41fb9a8e5f26 ...

Verstehen eines Syslog-Auditing-Dateieintrags

Die Beschreibung der Dateistruktur basiert auf dem folgenden Beispiel.

Feb 6 10:02:28 10.10.10.125 SpectrumServer125

CEF: 0|NetWitness|Spectrum|1.2.1.130|Suspicious Event|Detected suspicious
network event ID 857 session ID 73|2|

static=100.0 network=29.0 community=8.0 sandbox=N/R

file.name=-CVE-00_DOC_2010-05-13_attachment.doc file.size=0 file.md5.hash=20a29259c0e5958afb2f50c4177bb307

com.netwitness.event.internal.id=73 com.netwitness.event.internal.uuid=37d2bad7-06bc-4b34-88e1-df43d9710204 alias.ip=10.25.50.149 client=Wget/1.11.4 Red Hat modified payload=108872 packets=136 country.dst=Private time=Fri Jan 27 10:09:25 EST 2012 threat.source=netwitness tcp.srcport=43580 action=get com.netwitness.event.internal.source=http://QASpectrum2:50104/sdk filetype=rtf alias.host=qa-fc12-149 eth.src=00:25:90:18:76:E2 ip.proto=6 tcp.flags=27 ip.src=10.25.50.61 tcp.dstport=80 threat.category=spectrum eth.dst=00:0C:29:F8:50:2D lifetime=0 alert.id=nw32535 sessionid=73 medium=1 size=117864 content=spectrum.consume11 extension=doc directory=/files/MALWAREMALWARE/OfficeDocs/DOC/ eth.type=2048 ip.dst=10.25.50.149 service=80 filename=-CVE-00_DOC_2010-05-13_attachment.doc server=Apache/2.2.13 (Fedora) streams=2 referer=http://qa-fc12-149/files/MALWAREMALW...fficeDocs/DOC/ risk.info=http client server version mismatch

Erste Zeile

Feb 6 10:02:28 10.10.10.125 SpectrumServer125

                       
ProtokollinformationenBeschreibung
Feb 6 10:02:28Der Zeitstempel für den Eintrag.
10.10.10.125Die Quell-IP-Adresse des Ereignisses.
SpectrumServer125Der Quellhostname des Ereignisses.

Audit Common Event Format (CEF) Header

0|NetWitness|Spectrum|1.2.1.130|Suspicious Event|Detected suspicious network event ID 857 session ID 73|2|

Der Audit-CEF-Header ist eine durch Pipe-Zeichen getrennte Liste der folgenden Felder:

                                     
ProtokollinformationenBeschreibung
0

Die Version für das ArcSight CEF-Format wird für Audit-Syslog verwendet.

NetWitness

Der Service, der die Syslog-Nachricht erstellt hat.

Spectrum

Malware Analysis ist das Protokollmodul für das Ereignis.

1.2.1.130

Version von Malware Analysis

Ereignis-ID 857

Eindeutige Netzwerkereignis-ID für dieses Ereignis

Sitzungs-ID 73

Eindeutige Sitzungs-ID von Core für die Sitzung, die dieses Ereignis enthielt.

2

Schweregrad – eine Zahl zwischen 1 und 6, die den Schweregrad der Meldung angibt.

  • 1 = INFORMATION_LEVEL
  • 2 = WARNING_LEVEL
  • 3 = ERROR_LEVEL
  • 4 = SUCCESS_LEVEL
  • 5 = FAILURE_LEVEL
  • 6 = AUDIT_FAILURE_LEVEL

Audit-CEF-Erweiterung

static=100.0 network=29.0 community=8.0 sandbox=N/R

file.name=-CVE-00_DOC_2010-05-13_attachment.doc  file.size=0 file.md5.hash=20a29259c0e5958afb2f50c4177bb307 com.netwitness.event.internal.id=73

com.netwitness.event.internal.uuid=37d2bad7-06bc-4b34-88e1-df43d9710204 alias.ip=10.25.50.149 client=Wget/1.11.4 Red Hat modified payload=108872 packets=136 country.dst=Private time=Fri Jan 27 10:09:25 EST 2012 threat.source=netwitness tcp.srcport=43580 action=get com.netwitness.event.internal.source=http://QASpectrum2:50104/sdk filetype=rtf alias.host=qa-fc12-149 eth.src=00:25:90:18:76:E2 ip.proto=6 tcp.flags=27 ip.src=10.25.50.61 tcp.dstport=80 threat.category=spectrum eth.dst=00:0C:29:F8:50:2D lifetime=0 alert.id=nw32535 sessionid=73 medium=1 size=117864 content=spectrum.consume11 extension=doc directory=/files/MALWAREMALWARE/OfficeDocs/DOC/ eth.type=2048 ip.dst=10.25.50.149 service=80 filename=-CVE-00_DOC_2010-05-13_attachment.doc server=Apache/2.2.13 (Fedora) streams=2 referer=http://qa-fc12-149/files/MALWAREMALW...fficeDocs/DOC/ risk.info=http client server version mismatch

Analysewerte

Der erste Eintrag in der Audit-CEF-Erweiterung liefert die vier Malware Analysis-Werte für das Ereignis: Statisch, Netzwerk, Community und Sandbox.

                         
ProtokollinformationenBeispielwert
static

100.0

Netzwerk

29.0

community

8,0

Ein Wert von 0,0 kann ein Communitywert für das Ereignis sein oder bedeuten, dass kein Communityservice aktiviert wurde.

Sandbox

N/R

N/R bedeutet, dass keine Ausführung stattgefunden hat (Not Run). Dies weist darauf hin, dass die GFI-Sandbox nicht aktiviert wurde.

Dateiinformationen

Die nächsten drei Einträge stellen Dateiinformationen bereit: Dateiname, Größe und Hash.

                     
ProtokollinformationenBeispielwert
file.name-CVE-00_DOC_2010-05-13_attachment.doc
file.size0
file.md5.hash20a29259c0e5958afb2f50c4177bb307

Von NextGen abgerufene Ereignismetadaten

Die Aufzeichnung wird mit Core-Metadaten für dieses Ereignis fortgesetzt. Die Metadaten in der Meldung hängen vom Ereignis ab. Die Datenmenge in der Meldung ist gemäß den Syslog-Einstellungen auf die maximal zulässige Länge (in Byte) begrenzt. Der Standardwert ist 1024.

                                                                                                                                                             
ProtokollinformationenBeispielwert
com.netwitness.event.internal.id73
com.netwitness.event.internal.uuid37d2bad7-06bc-4b34-88e1-df43d9710204
alias.ip10.25.50.149
ClientWget/1.11.4 Red Hat modified
payload108872
packets136
country.dstPrivate
timeFri Jan 27 10:09:25 EST 2012
threat.sourcenetwitness
tcp.srcport43580
Aktionget
com.netwitness.event.internal.sourcehttp://QASpectrum2:50104/sdk
filetypeRTF
alias.hostqa-fc12-149
eth.src00:25:90:18:76:E2
ip.proto6
tcp.flags27
ip.src10.25.50.61
tcp.dstport80
threat.categorySPectrum
eth.dst00:0C:29:F8:50:2D
Dauer0
alert.idnw32535
sessionid73
medium1
Größe117864
Inhaltspectrum.consume11
extensiondoc
directory/files/MALWAREMALWARE/OfficeDocs/DOC/
eth.type2048
ip.dst10.25.50.149
service80
filename-CVE-00_DOC_2010-05-13_attachment.doc
serverApache/2.2.13 (Fedora)
Streams2
refererhttp://qa-fc12-149/files/MALWAREMALWARE/OfficeDocs/DOC/
risk.infohttp client server version mismatch

Bearbeiten Sie die Konfigurationsdatei.

  1. Beenden Sie den Malware Analysis-Service.
  2. Bearbeiten Sie die Konfigurationsdatei, wie im Beispiel beschrieben.
  3. Starten Sie den Malware Analysis-Service.
    Der Malware Analysis-Service beginnt damit, Warnmeldungen mithilfe der Konfigurationsdatei zu verarbeiten und CEF-Warnmeldungen an designierte Services zu senden.

Beispiel

Die Konfigurationsdatei kann verwendet werden, um vorzugeben, welche Felder in der resultierenden Warnmeldung angezeigt werden, welche Bezeichnung jedes Feld erhalten soll, und in welcher Reihenfolge die Datenfelder angezeigt werden. Die Konfigurationsdatei besteht aus einem oder mehreren MalwareCefExtension-XML-Blöcken, wie im Beispiel unten gezeigt. Die Reihenfolge dieser Blöcke in der Konfigurationsdatei impliziert die Reihenfolge der Datenfelder in der CEF-Warnmeldung.  

Um Beispiel unten würde die CEF-Warnmeldung zwei Datenfelder beinhalten, ip.src gefolgt von ip.dst. Mit customKey wird die Bezeichnung des Datenfelds in der Warnmeldung angezeigt. Dies erlaubt es dem Benutzer, eine angepasste Bezeichnung zu wählen, damit das Format der Warnmeldung besser mit den Erwartungen der Empfänger der Warnmeldung übereinstimmt. Mit anderen Worten, das Format kann so eingestellt werden, dass unerwünschte Änderungen an einem bestehenden Warnmeldungsparser verhindert werden. Schließlich legt die Einstellung isDisplay fest, ob das Feld in der Warnmeldungsausgabe enthalten sein wird. So kann der Benutzer Datenfelder abschalten, ohne den Block MalwareCefExtension physisch von der Konfiguration löschen zu müssen.

 <config>

 <malwareExtensionList>

<com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.src</customKey>

      <malwareKey>ip.src</malwareKey>

      <isDisplay>true</isDisplay>

</com.netwitness.malware.core.cef.MalwareCefExtension>

<com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.dst</customKey>

      <malwareKey>ip.dst</malwareKey>

      <isDisplay>true</isDisplay>

</com.netwitness.malware.core.cef.MalwareCefExtension>

 </malwareExtensionList>

</config>

Am Ende der Konfigurationsdatei sind drei zusätzliche Einstellungen, mit denen das Format der Warnmeldung noch feiner eingestellt werden kann. Sie lauten wie folgt:

                     
EinstellungBeschreibung
includesUnknownMeta Diese Einstellung, die die Werte „wahr“ oder „falsch“ annehmen kann, zeigt an, ob unbekannte Datenelemente in der resultierenden Warnmeldung enthalten sein können. Alle beliebigen NextGen-Sitzungsdaten können in einer CEF-Warnmeldung enthalten sein.
Da zusätzliche Sitzungsmetadaten über die Erstellung neuer NextGen-Parser eingeführt werden können, können auch Metadaten gefunden werden, die in der Standardkonfiguration nicht enthalten sind. Sie können includesUnknownMeta auf „wahr“ einstellen, um die unbekannten Metadaten in der Warnmeldung einzuschließen, und sie mithilfe des NextGen-Metaschlüsselnamens bezeichnen. Um einen angepassten Schlüssel für die nicht bekannten Metadaten zu erzwingen, müssen Sie diese Datei bearbeiten und eine neue MalwareCefExtension zum Wörterbuch hinzufügen.  
Wenn Sie unbekannte Metadaten aus der Warnmeldung auslassen möchten, stellen Sie includesUnknownMeta auf „falsch“ ein.
displayNulls Diese Einstellung, die die Werte „wahr“ oder „falsch“ annehmen kann, zeigt an, ob auf Null gesetzte Werte in der Warnmeldung enthalten sein können. Wenn displayNulls auf „falsch“ eingestellt ist, werden die Felder mit dem Wert Null ausgelassen, auch wenn ihre Eigenschaft MalwareCefExtension isDisplay aktiviert ist. Dies erlaubt dynamisches Formatieren von Warnmeldungen, um Nullfelder auszuschließen.
valueIfNull Diese Einstellung, die die Werte „wahr“ oder „falsch“ annehmen kann, erlaubt Ihnen, einen Platzhalter für die Zeichenfolge anzugeben (standardmäßig n/a), der als Wert für alle Felder mit dem Wert Null verwendet wird. Wenn displayNulls auf „wahr“ eingestellt ist, werden Felder mit Nullwerten in den Warnmeldungen eingeschlossen. Ihr Wert wird auf den in valueIfNull angegebenen Wert festgelegt.

Folgendes repräsentiert die Standard-CEF-Konfigurationsdatei. Die Standard Konfigurationsdatei enthält alle Standard-NextGen-Sitzungsmetadaten.

<config>

  <malwareExtensionList>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>static</customKey>

      <malwareKey>static</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>nextgen</customKey>

      <malwareKey>nextgen</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>community</customKey>

      <malwareKey>community</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>sandbox</customKey>

      <malwareKey>sandbox</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.name</customKey>

      <malwareKey>file.name</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.size</customKey>

      <malwareKey>file.size</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>file.md5.hash</customKey>

      <malwareKey>file.md5.hash</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.source</customKey>

      <malwareKey>event.source</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.type</customKey>

      <malwareKey>event.type</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.id</customKey>

      <malwareKey>event.id</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>event.uuid</customKey>

      <malwareKey>event.uuid</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.primary.detected</customKey>

      <malwareKey>antivirus.primary.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.secondary.detected</customKey>

      <malwareKey>antivirus.secondary.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>antivirus.other.detected</customKey>

      <malwareKey>antivirus.other.detected</malwareKey>

      <isDisplay>true</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.dst.code</customKey>

      <malwareKey>country.dst.code</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>city.dst</customKey>

      <malwareKey>city.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>org.dst</customKey>

      <malwareKey>org.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>payload</customKey>

      <malwareKey>payload</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>packets</customKey>

      <malwareKey>packets</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.dst</customKey>

      <malwareKey>country.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>time</customKey>

      <malwareKey>time</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.source</customKey>

      <malwareKey>threat.source</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.srcpport</customKey>

      <malwareKey>tcp.srcpport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>filetype</customKey>

      <malwareKey>filetype</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>latdec.dst</customKey>

      <malwareKey>latdec.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.src</customKey>

      <malwareKey>eth.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>agency.dst</customKey>

      <malwareKey>agency.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.proto</customKey>

      <malwareKey>ip.proto</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.flags</customKey>

      <malwareKey>tcp.flags</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.src</customKey>

      <malwareKey>ip.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.dstport</customKey>

      <malwareKey>tcp.dstport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.category</customKey>

      <malwareKey>threat.category</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.dst</customKey>

      <malwareKey>eth.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>lifetime</customKey>

      <malwareKey>lifetime</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>latdec.src</customKey>

      <malwareKey>latdec.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>did</customKey>

      <malwareKey>did</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>alert.id</customKey>

      <malwareKey>alert.id</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>country.src</customKey>

      <malwareKey>country.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>sessionid</customKey>

      <malwareKey>sessionid</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>longdec.src</customKey>

      <malwareKey>longdec.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>medium</customKey>

      <malwareKey>medium</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>size</customKey>

      <malwareKey>size</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.domain.dst</customKey>

      <malwareKey>ad.computer.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.computer.dst</customKey>

      <malwareKey>ad.computer.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.username.src</customKey>

      <malwareKey>ad.username.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rpackets</customKey>

      <malwareKey>rpackets</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>action</customKey>

      <malwareKey>action</malwareKey>

      <isDisplay>false</isDisplay>

   </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.domain.src</customKey>

      <malwareKey>ad.domain.src</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.src.vendor</customKey>

      <malwareKey>eth.src.vendor</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rpayload</customKey>

      <malwareKey>rpayload</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ad.username.dst</customKey>

      <malwareKey>ad.username.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>content</customKey>

      <malwareKey>content</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>extension</customKey>

      <malwareKey>extension</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.dst.vendor</customKey>

      <malwareKey>eth.dst.vendor</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>rid</customKey>

      <malwareKey>rid</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>directory</customKey>

      <malwareKey>directory</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.suspicious</customKey>

      <malwareKey>risk.suspicious</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>eth.type</customKey>

      <malwareKey>eth.type</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>ip.dst</customKey>

      <malwareKey>ip.dst</malwareKey>

      <isDisplay>false</isDisplay>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>service</customKey>

      <malwareKey>service</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>filename</customKey>

      <malwareKey>filename</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>streams</customKey>

      <malwareKey>streams</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.info</customKey>

      <malwareKey>risk.info</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>dest.tld</customKey>

      <malwareKey>dest.tld</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>alias.host</customKey>

      <malwareKey>alias.host</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>tcp.srcport</customKey>

      <malwareKey>tcp.srcport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>udp.srcport</customKey>

      <malwareKey>udp.srcport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>udp.dstport</customKey>

      <malwareKey>udp.dstport</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>domain.dst</customKey>

      <malwareKey>domain.dst</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>feed.name</customKey>

      <malwareKey>feed.name</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>feed.description</customKey>

      <malwareKey>feed.description</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>threat.description</customKey>

      <malwareKey>threat.description</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>referer</customKey>

      <malwareKey>referer</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>client</customKey>

      <malwareKey>client</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>server</customKey>

      <malwareKey>server</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>risk.warning</customKey>

      <malwareKey>risk.warning</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>attachment</customKey>

      <malwareKey>attachment</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.registrar</customKey>

      <malwareKey>whois.registrar</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.registrant</customKey>

      <malwareKey>whois.registrant</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.date.creation</customKey>

      <malwareKey>whois.date.creation</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

    <com.netwitness.malware.core.cef.MalwareCefExtension>

      <customKey>whois.server</customKey>

      <malwareKey>whois.server</malwareKey>

      <isDisplay>false</isDisplay>

    </com.netwitness.malware.core.cef.MalwareCefExtension>

  </malwareExtensionList>

  <includesUnknownMeta>false</includesUnknownMeta>

  <displayNulls>false</displayNulls>

  <valueIfNull>n/a</valueIfNull>

</config>

You are here
Table of Contents > Zusätzliche Verfahren zur Konfiguration von Malware Analysis > Erstellen angepasster Warnmeldungen im CEF-Format

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)8 Views
      Last modified on May 14, 2018 2:05 PM
      Tags:
      Categories: Administration
      Ratings: