Événements exportés au format JSON

JSON est un format léger pour l'échange de données. Il repose sur un groupe de paires nom/valeur et une liste classée de valeurs.

Evénements exportés

Cette section contient des détails sur le format et la signification des attributs de tous les événements exportés. Le message d'événement prend la forme d'un objet JSON avec quelques clés obligatoires et facultatives. Chaque événement exporté contiendra la clé suivante :

event_type

string

 

Type d'événements exportés : Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

string

facultatif

Adresse IPv4 de l'ordinateur générant l'événement.

ipv6

string

facultatif

Adresse IPv6 de l'ordinateur générant l'événement.

source_uuid

string

 

UUID de l'ordinateur générant l'événement.

occurred

string

 

Heure UTC d'occurrence de l'événement. Le format est %d-%b-%Y %H:%M:%S

severity

string

 

Gravité de l'événement. Les valeurs possibles (du moins grave au plus grave) sont les suivantes : Information Notice Warning Error CriticalFatal

 

Clés personnalisées selon event_type :

1.ThreatEvent

Tous les événements de menace générés par des points de terminaison gérés seront transférés à Syslog. Clé spécifique à un événement de menace :

threat_type

string

facultatif

Type de menace

threat_name

string

facultatif

Nom de la menace

threat_flags

string

facultatif

Indicateurs liés à des menaces

scanner_id

string

facultatif

ID d'analyseur

scan_id

string

facultatif

ID d'analyse

engine_version

string

facultatif

Version du moteur d'analyse

object_type

string

facultatif

Type d'objet lié à cet événement

object_uri

string

facultatif

URI de l’objet

action_taken

string

facultatif

Action prise par le point de terminaison

action_error

string

facultatif

Message d'erreur en cas d'échec de « l'action »

threat_handled

bool

facultatif

Indique si la menace a été gérée ou non

need_restart

bool

facultatif

Indique si un redémarrage est nécessaire ou non

username

string

facultatif

Nom du compte utilisateur associé à l'événement

processname

string

facultatif

Nom du processus associé à l'événement

circumstances

string

facultatif

Brève description de la cause de l'événement

2.FirewallAggregated_Event

Les journaux d'événements générés par le pare-feu personnel d'ESET sont agrégés par la gestion d'ESET Remote Administrator Agent pour éviter le gaspillage de bande passante pendant la réplication ERA Agent/ ERA Server. Clé spécifique à un événement de pare-feu :

event

string

facultatif

Nom de l'événement

source_address

string

facultatif

Adresse de la source de l'événement

source_address_type

string

facultatif

Type d'adresse de la source de l'événement

source_port

number

facultatif

Port de la source de l'événement

target_address

string

facultatif

Adresse de la destination de l'événement

target_address_type

string

facultatif

Type d'adresse de la destination de l'événement

target_port

number

facultatif

Port de la destination de l'événement

protocol

string

facultatif

Protocole

account

string

facultatif

Nom du compte utilisateur associé à l'événement

process_name

string

facultatif

Nom du processus associé à l'événement

rule_name

string

facultatif

Nom de la règle

rule_id

string

facultatif

ID de règle

inbound

bool

facultatif

Indique si la connexion était entrante ou non

threat_name

string

facultatif

Nom de la menace

aggregate_count

number

facultatif

Nombre de messages identiques générés par le point de terminaison entre deux réplications consécutives entre ERA Server et l'ERA Agent de gestion

3.HIPSAggregated_Event

Les événements du système HIPS (Host-based Intrusion Prevention System) sont filtrés sur la gravité avant d'être transmis plus avant en tant que messages Syslog. Seuls les événements dont les niveau de gravité sont Error, Critical et Fatal sont envoyés à Syslog. Les attributs spécifiques à HIPS sont les suivants :

application

string

facultatif

Nom de l’application

operation

string

facultatif

Opération

target

string

facultatif

Cible

action

string

facultatif

Action

rule_name

string

facultatif

Nom de la règle

rule_id

string

facultatif

ID de règle

aggregate_count

number

facultatif

Nombre de messages identiques générés par le point de terminaison entre deux réplications consécutives entre ERA Server et l'ERA Agent de gestion