Izvoz dnevnika u Syslog

ESET Remote Administrator može izvesti određene dnevnike/događaje i poslati ih na vaš Syslog server. Događaji kao što su Događaj prijetnje, Firewall skupni događaj, HIPS skupni događaj itd. generiraju se na upravljanom klijentskom računalu koje koristi sigurnosni proizvod tvrtke ESET (na primjer ESET Endpoint Security). Ti događaji mogu se obraditi bilo kojim SIEM (Security Information and Event Management) rješenjem koje podržava uvoz iz Sysloga. Događaje u Syslog server zapisuje ESET Remote Administrator.

Nakon što omogućite Syslog server, idite na Administracija > Postavke servera > Napredne postavke > Syslog Server > Zapisivanje i omogućite Izvoz dnevnika u Syslog. Poruke događaja formatiraju se u JSON (JavaScript Object Notation) formatu.

export_to_syslog

Izvezeni događaji

Ovaj odjeljak sadrži pojedinosti o formatu i značenje atributa svih izvezenih događaja. Poruka događaja ima oblik JSON objekta s nekim obaveznim i nekim dodatnim ključevima. Svaki izvezeni događaj sadržavat će sljedeći ključ:

event_type

niz

 

Vrsta izvezenih događaja: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

niz

nije obavezno

IPv4 adresa računala koje generira događaj.

ipv6

niz

nije obavezno

IPv6 adresa računala koje generira događaj.

source_uuid

niz

 

UUID adresa računala koje generira događaj.

occurred

niz

 

UTC vrijeme zbivanja događaja. Format je %d-%b-%Y %H:%M:%S

severity

niz

 

Razina ozbiljnosti događaja. Moguće vrijednosti (od najmanje ozbiljne do najozbiljnije) su sljedeće: Informacija Obavijest Upozorenje Pogreška Kritično Fatalno

ThreatEvent

Svi događaji prijetnji koje generiraju upravljane krajnje točke bit će proslijeđeni Syslogu. Posebni ključ događaja prijetnje:

threat_type

niz

nije obavezno

Vrsta prijetnje

threat_name

niz

nije obavezno

Naziv prijetnje

threat_flags

niz

nije obavezno

Upozorenja koja se odnose na prijetnje

scanner_id

niz

nije obavezno

ID skenera

scan_id

niz

nije obavezno

ID skeniranja

engine_version

niz

nije obavezno

Verzija sustava za skeniranje

object_type

niz

nije obavezno

Vrsta objekta povezanog s ovim događajem

object_uri

niz

nije obavezno

URI objekta

action_taken

niz

nije obavezno

Akcija koju poduzima krajnja točka

action_error

niz

nije obavezno

Poruka o pogrešci u slučaju kada „akcija” nije bila uspješna

threat_handled

bool

nije obavezno

Označava je li prijetnja riješena

need_restart

bool

nije obavezno

Označava je li potrebno ponovno pokretanje

username

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

processname

niz

nije obavezno

Naziv procesa povezanog s događajem

circumstances

niz

nije obavezno

Kratak opis uzroka događaja

Firewall Aggregated Event

Dnevnike događaja koje je stvorio ESET osobni firewall prikuplja izvršni ESET Remote Administrator agent da bi se izbjeglo trošenje internetske veze tijekom replikacije ERA agenta/ERA servera. Posebni ključ događaja firewalla:

event

niz

nije obavezno

Naziv događaja

source_address

niz

nije obavezno

Adresa izvora događaja

source_address_type

niz

nije obavezno

Vrsta adrese izvora događaja

source_port

broj

nije obavezno

Port izvora događaja

target_address

niz

nije obavezno

Adresa odredišta događaja

target_address_type

niz

nije obavezno

Vrsta adrese odredišta događaja

target_port

broj

nije obavezno

Port odredišta događaja

protokol

niz

nije obavezno

Protokol

račun

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

process_name

niz

nije obavezno

Naziv procesa povezanog s događajem

rule_name

niz

nije obavezno

Naziv pravila

rule_id

niz

nije obavezno

ID pravila

inbound

bool

nije obavezno

Označava je li veza bila ulazna

threat_name

niz

nije obavezno

Naziv prijetnje

aggregate_count

broj

nije obavezno

Označava koliko je potpuno istih poruka generirala krajnja točka između dviju uzastopnih replikacija između ERA servera i izvršnog ERA agenta

HIPS Aggregated Event

Događaji iz Sistema za sprečavanje upada filtriraju se s obzirom na ozbiljnost prije nego što se pošalju dalje kao Syslog poruke. Syslogu se šalju samo događaji koji imaju razinu ozbiljnosti Pogreška, Kritično i Fatalno. Posebni HIPS atributi su sljedeći:

application

niz

nije obavezno

Naziv aplikacije

operacija

niz

nije obavezno

Operacija

cilj

niz

nije obavezno

Cilj

radnja

niz

nije obavezno

Radnja

rule_name

niz

nije obavezno

Naziv pravila

rule_id

niz

nije obavezno

ID pravila

aggregate_count

broj

nije obavezno

Označava koliko je potpuno istih poruka generirala krajnja točka između dviju uzastopnih replikacija između ERA servera i izvršnog ERA agenta.