События, экспортируемые в формат JSON

JSON — облегченный формат для обмена данными. Он построен на наборе пар «имя-значение» и упорядоченном списке значений.

Экспортируемые события

Этот раздел содержит сведения о формате и значение атрибутов всех экспортируемых событий. Сообщение о событии создается в виде объекта JSON с обязательными и необязательными ключами. Каждое экспортируемое событие будет содержать следующий ключ:

event_type

строка

 

Тип экспортируемых событий: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

строка

необязательно

IPv4-адрес компьютера, создавшего событие.

ipv6

строка

необязательно

IPv6-адрес компьютера, создавшего событие.

source_uuid

строка

 

Идентификатор UUID компьютера, создавшего событие.

occurred

строка

 

Время события в формате UTC. Используется формат %d-%b-%Y %H:%M:%S.

severity

строка

 

Серьезность события. Возможные значения (от наименее до наиболее серьезных событий): «Информация», «Примечание», «Предупреждение», «Ошибка», «Критическая ошибка», «Неустранимая ошибка».

 

Настраиваемые ключи в соответствии с event_type:

1.ThreatEvent

Все события типа «Угроза», которые создаются управляемыми конечными точками, перенаправляются в системный журнал. Ключи событий «Угроза» перечислены в таблице ниже.

threat_type

строка

необязательно

Тип угрозы.

threat_name

строка

необязательно

Имя угрозы.

threat_flags

строка

необязательно

Флаги, связанные с угрозой.

scanner_id

строка

необязательно

Идентификатор модуля сканирования.

scan_id

строка

необязательно

Идентификатор сканирования.

engine_version

строка

необязательно

Версия модуля сканирования.

object_type

строка

необязательно

Тип объекта, связанного с этим событием.

object_uri

строка

необязательно

URI объекта

action_taken

строка

необязательно

Действие, которое выполнила конечная точка.

action_error

строка

необязательно

Сообщение об ошибке, если действие не удалось выполнить.

threat_handled

логическое значение

необязательно

Показывает, была ли обработана угроза.

need_restart

логическое значение

необязательно

Показывает, нужна ли перезагрузка.

username

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

processname

строка

необязательно

Имя процесса, связанного с событием.

circumstances

строка

необязательно

Краткое описание причины события.

2.FirewallAggregated_Event

Чтобы напрасно не загружать полосу пропускания во время репликации агента ERA или сервера ERA Server, журналы событий, созданные персональным файерволом ESET, собирает управляющий агент ESET Remote Administrator. Ключи событий файервола приведены в таблице ниже.

event

строка

необязательно

Имя события.

source_address

строка

необязательно

Адрес источника события.

source_address_type

строка

необязательно

Тип адреса источника события.

source_port

число

необязательно

Порт источника события.

target_address

строка

необязательно

Адрес цели события.

target_address_type

строка

необязательно

Тип адреса цели события.

target_port

число

необязательно

Порт цели события.

protocol

строка

необязательно

Протокол

account

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

process_name

строка

необязательно

Имя процесса, связанного с событием.

rule_name

строка

необязательно

Имя правила

rule_id

строка

необязательно

Идентификатор правила

inbound

логическое значение

необязательно

Показывает, является ли подключение входящим.

threat_name

строка

необязательно

Имя угрозы.

aggregate_count

число

необязательно

Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями, выполненными между сервером ERA Server и управляющим агентом ERA.

3.HIPSAggregated_Event

События системы предотвращения вторжений на узел фильтруются по уровню серьезности перед отправкой в качестве сообщений системного журнала. В системный журнал отправляются только события с уровнями серьезности Ошибка, Критическая ошибка и Неустранимая ошибка. В таблице ниже перечислены атрибуты HIPS.

application

строка

необязательно

Имя приложения

operation

строка

необязательно

Операция

target

строка

необязательно

Объект

action

строка

необязательно

Действие

rule_name

строка

необязательно

Имя правила

rule_id

строка

необязательно

Идентификатор правила

aggregate_count

число

необязательно

Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями, выполненными между сервером ERA Server и управляющим агентом ERA.