Exportar registros a Syslog

ESET Remote Administrator puede exportar determinados registros/eventos y enviarlos al servidor de Syslog. Eventos tales como Evento de amenaza, Evento de adición al cortafuegos, Evento de adición al HIPS, etc. se generan en un ordenador cliente gestionado en el que se ejecuta un producto de seguridad de ESET (por ejemplo ESET Endpoint Security). Estos eventos se pueden procesar mediante cualquier solución de SIEM (Gestión de eventos e información de seguridad) capaz de importar los eventos desde un servidor de Syslog. Los eventos se escriben en el servidor de Syslog mediante ESET Remote Administrator.

Después de activar el servidor de Syslog, vaya a Admin > Configuración del servidor > Configuración avanzada > Servidor de Syslog > Registro y active Exportar registros a Syslog. Los mensajes de los eventos presentan el formato JSON (JavaScript Object Notation).

export_to_syslog

Eventos exportados

Esta sección contiene detalles sobre el formato y el significado de los atributos de todos los eventos exportados. El mensaje del evento presenta el formato de un objeto JSON con algunas claves obligatorias y otras opcionales. Cada evento exportado contendrá la siguiente clave:

event_type

cadena

 

Tipo de eventos exportados: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

cadena

opcional

Dirección IPv4 del ordenador que genera el evento.

ipv6

cadena

opcional

Dirección IPv6 del ordenador que genera el evento.

source_uuid

cadena

 

UUID del ordenador que genera el evento.

occurred

cadena

 

Hora UTC en la que el evento tuvo lugar. Tiene el formato %d-%b-%Y %H:%M:%S

severity

cadena

 

Gravedad del evento. Los posibles valores (de menos grave a más grave) son: Information Notice Warning Error CriticalFatal

ThreatEvent

Todos los eventos de amenaza generados por los puntos de acceso gestionado se enviarán al Syslog. Clave específica del evento de amenaza:

threat_type

cadena

opcional

Tipo de amenaza

threat_name

cadena

opcional

Nombre de la amenaza

threat_flags

cadena

opcional

Marcadores relacionados con la amenaza

scanner_id

cadena

opcional

ID del escáner

scan_id

cadena

opcional

ID del análisis

engine_version

cadena

opcional

Versión del motor de análisis

object_type

cadena

opcional

Tipo de objeto relacionado con este evento

object_uri

cadena

opcional

URI del objeto

action_taken

cadena

opcional

Acción realizada por el punto de acceso

action_error

cadena

opcional

Mensajes de error en caso de que la "acción" no se completara correctamente

threat_handled

bool

opcional

Indica si la amenaza se gestionó o no

need_restart

bool

opcional

Indica si es necesario reiniciar o no

username

cadena

opcional

Nombre de la cuenta de usuario relacionada con el evento

processname

cadena

opcional

Nombre del proceso relacionado con el evento

circumstances

cadena

opcional

Breve descripción de la causa del evento

Evento de adición al cortafuegos

Los registros de eventos generados por el Cortafuegos personal de ESET los agrega el ESET Remote Administrator Agent encargado de la gestión para evitar el desperdicio de ancho de banda durante la replicación ERA Agent/ERA Server. Clave específica del evento de cortafuegos:

event

cadena

opcional

Nombre del evento

source_address

cadena

opcional

Dirección del origen del evento

source_address_type

cadena

opcional

Tipo de dirección del origen del evento

source_port

número

opcional

Puerto del origen del evento

target_address

cadena

opcional

Dirección del destino del evento

target_address_type

cadena

opcional

Tipo de dirección del destino del evento

target_port

número

opcional

Puerto del destino del evento

protocol

cadena

opcional

Protocolo

account

cadena

opcional

Nombre de la cuenta de usuario relacionada con el evento

process_name

cadena

opcional

Nombre del proceso relacionado con el evento

rule_name

cadena

opcional

Nombre de la regla

rule_id

cadena

opcional

ID de la regla

inbound

bool

opcional

Indica si la conexión fue entrante o no

threat_name

cadena

opcional

Nombre de la amenaza

aggregate_count

número

opcional

El número de los mensajes exactamente iguales generados por el punto de acceso entre dos replicaciones consecutivas entre el ERA Server y el ERA Agent encargado de la gestión

Evento de adición al HIPS

Los eventos procedentes del Sistema de prevención de intrusiones del host se filtran por gravedad antes de que se envíen posteriormente como mensajes de Syslog. Solo los eventos que tengan los niveles de severity Error, Critical y Fatal se envían a Syslog. Los atributos específicos del HIPS son los siguientes:

application

cadena

opcional

Nombre de la aplicación

operation

cadena

opcional

Operación

target

cadena

opcional

Destino

action

cadena

opcional

Acción

rule_name

cadena

opcional

Nombre de la regla

rule_id

cadena

opcional

ID de la regla

aggregate_count

número

opcional

El número de los mensajes exactamente iguales generados por el punto de acceso entre dos replicaciones consecutivas entre el ERA Server y el ERA Agent encargado de la gestión