Događaji izvezeni u format JSON

jednostavan je format za razmjenu podataka. Temelji se na skupu parova naziva/vrijednosti i poredanog popisa vrijednosti.

Izvezeni događaji

Ovaj odjeljak sadrži pojedinosti o formatu i značenju atributa svih izvezenih događaja. Poruka događaja ima oblik JSON objekta s nekim obaveznim i nekim dodatnim ključevima. Svaki izvezeni događaj sadržavat će sljedeći ključ:

event_type

niz

 

Vrsta izvezenih događaja: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

niz

nije obavezno

IPv4 adresa računala koje generira događaj.

ipv6

niz

nije obavezno

IPv6 adresa računala koje generira događaj.

source_uuid

niz

 

UUID računala koje generira događaj.

occurred

niz

 

UTC vrijeme zbivanja događaja. Format je %d-%b-%Y %H:%M:%S

severity

niz

 

Razina ozbiljnosti događaja. Moguće su sljedeće vrijednosti (od najmanje ozbiljne do najozbiljnije): Informacija Obavijest Upozorenje Pogreška Kritična pogreška Kobna pogreška

 

Prilagođeni ključevi prema stavci event_type:

1.ThreatEvent

Svi događaji prijetnji koje generiraju upravljani sigurnosni programi prosljeđuju se Syslogu. Posebni ključ događaja prijetnje:

threat_type

niz

nije obavezno

Vrsta prijetnje

threat_name

niz

nije obavezno

Naziv prijetnje

threat_flags

niz

nije obavezno

Zastavice koje se odnose na prijetnje

scanner_id

niz

nije obavezno

ID skenera

scan_id

niz

nije obavezno

ID skeniranja

engine_version

niz

nije obavezno

Verzija sustava za skeniranje

object_type

niz

nije obavezno

Vrsta objekta povezanog s ovim događajem

object_uri

niz

nije obavezno

URI objekta

action_taken

niz

nije obavezno

Radnja koju poduzima Endpoint

action_error

niz

nije obavezno

Poruka o pogrešci u slučaju kada „radnja” nije uspješna

threat_handled

bool

nije obavezno

Označava je li prijetnja riješena

need_restart

bool

nije obavezno

Označava je li potrebno ponovno pokretanje

username

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

processname

niz

nije obavezno

Naziv procesa povezanog s događajem

circumstances

niz

nije obavezno

Kratak opis uzroka događaja

2.FirewallAggregated_Event

Dnevnike događaja koje je stvorio ESET osobni firewall prikuplja izvršni ESET Remote Administrator agent da bi se izbjeglo trošenje internetske veze tijekom replikacije ERA agenta / ERA servera. Posebni ključ događaja firewalla:

event

niz

nije obavezno

Naziv događaja

source_address

niz

nije obavezno

Adresa izvora događaja

source_address_type

niz

nije obavezno

Vrsta adrese izvora događaja

source_port

broj

nije obavezno

Port izvora događaja

target_address

niz

nije obavezno

Adresa odredišta događaja

target_address_type

niz

nije obavezno

Vrsta adrese odredišta događaja

target_port

broj

nije obavezno

Port odredišta događaja

protocol

niz

nije obavezno

Protokol

account

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

process_name

niz

nije obavezno

Naziv procesa povezanog s događajem

rule_name

niz

nije obavezno

Naziv pravila

rule_id

niz

nije obavezno

ID pravila

inbound

bool

nije obavezno

Označava je li veza bila ulazna

threat_name

niz

nije obavezno

Naziv prijetnje

aggregate_count

broj

nije obavezno

Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ERA servera i izvršnog ERA agenta.

3.HIPSAggregated_Event

Događaji iz sustava za sprečavanje upada temeljenog na hostu filtriraju se s obzirom na ozbiljnost prije nego što se pošalju dalje kao Syslog poruke. Syslogu se šalju samo događaji koji imaju razinu ozbiljnosti Pogreška, Kritična pogreška i Kobna pogreška. Posebni su HIPS atributi sljedeći:

application

niz

nije obavezno

Naziv aplikacije

operation

niz

nije obavezno

Operacija

target

niz

nije obavezno

Objekt

action

niz

nije obavezno

Radnja

rule_name

niz

nije obavezno

Naziv pravila

rule_id

niz

nije obavezno

ID pravila

aggregate_count

broj

nije obavezno

Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ERA servera i izvršnog ERA agenta.