Udalosti exportované vo formáte JSON

JSON je jednoduchý formát pre výmenu dát. Je založený na dvoch dátových štruktúrach: kolekcia párov názov-hodnota a zoradený zoznam hodnôt.

Exportované udalosti

Táto sekcia obsahuje podrobnosti o formáte a význame atribútov všetkých exportovaných udalostí. Správa o udalosti má podobu objektu JSON vrátane niektorých povinných a voliteľných kľúčov (atribútov). Každá exportovaná udalosť bude obsahovať nasledujúci kľúč:

event_type

reťazec

 

Typ exportovanej udalosti: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

reťazec

voliteľné

IPv4 adresa počítača, ktorý generoval udalosť.

ipv6

reťazec

voliteľné

IPv6 adresa počítača, ktorý generoval udalosť.

source_uuid

reťazec

 

UUID počítača, ktorý generoval udalosť.

occurred

reťazec

 

Čas vo formáte UTC, kedy udalosť vznikla. Formát: %d-%b-%Y %H:%M:%S.

severity

reťazec

 

Závažnosť udalosti. Možné hodnoty (od najmenej závažnej po najviac závažnú) sú: Informácie, Upozornenie, Varovanie, Chyba, Kritický, Závažný.

 

Vlastné kľúče (atribúty) podľa event_type:

1.ThreatEvent

Všetky záznamy o zachytených hrozbách sú spravované koncovými bezpečnostnými produktmi a odosielané na Syslog. Záznam vyzerá nasledovne:

threat_type

reťazec

voliteľné

Typ hrozby

threat_name

reťazec

voliteľné

Názov hrozby

threat_flags

reťazec

voliteľné

Príznaky súvisiace s hrozbou

scanner_id

reťazec

voliteľné

ID skenera

scan_id

reťazec

voliteľné

ID kontroly

engine_version

reťazec

voliteľné

Verzia skenovacieho jadra

object_type

reťazec

voliteľné

Typ objektu týkajúci sa tejto udalosti

object_uri

reťazec

voliteľné

URL objektu

action_taken

reťazec

voliteľné

Akcia vykonaná koncovým produktom

action_error

reťazec

voliteľné

Chybové hlásenie v prípade, že „akcia“ nebola úspešná.

threat_handled

bool

voliteľné

Udáva, či hrozba bola alebo nebola vyriešená.

need_restart

bool

voliteľné

Informácia o tom, či je potrebný reštart.

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

circumstances

reťazec

voliteľné

Krátka informácia o tom, čo spôsobilo danú udalosť.

2.FirewallAggregated_Event

Protokoly o udalostiach generované personálnym firewallom ESET agreguje riadiaci ESET Remote Administrator Agent na účely zníženia množstva dát prenášaných počas replikácie ERA Agenta/ERA Servera. Záznam o udalostiach firewallu vyzerá nasledovne:

event

reťazec

voliteľné

Názov udalosti

source_address

reťazec

voliteľné

Adresa zdroja udalosti

source_address_type

reťazec

voliteľné

Typ adresy zdroja udalosti

source_port

číslo

voliteľné

Port zdroja udalosti

target_address

reťazec

voliteľné

Adresa cieľa udalosti

target_address_type

reťazec

voliteľné

Typ adresy cieľa udalosti

target_port

číslo

voliteľné

Port cieľa udalosti

protocol

reťazec

voliteľné

Protokol

účet

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

process_name

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

rule_name

reťazec

voliteľné

Názov pravidla

rule_id

reťazec

voliteľné

ID pravidla

inbound

bool

voliteľné

Informácia, či išlo o prichádzajúce pripojenie.

threat_name

reťazec

voliteľné

Názov hrozby

aggregate_count

číslo

voliteľné

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ERA Agenta na ERA Server.

3.HIPSAggregated_Event

Udalosti z modulu HIPS (Host-based Intrusion Prevention System) sú filtrované na základe závažnosti pred tým, ako sú ďalej odosielané v podobe Syslog správ. Na Syslog sú odosielané len udalosti s úrovňou závažnosti Chyba, Kritický a Závažný. Záznam o udalostiach modulu HIPS vyzerá nasledovne:

application

reťazec

voliteľné

Názov aplikácie

operation

reťazec

voliteľné

Operácia

target

reťazec

voliteľné

Cieľ

action

reťazec

voliteľné

Akcia

rule_name

reťazec

voliteľné

Názov pravidla

rule_id

reťazec

voliteľné

ID pravidla

aggregate_count

číslo

voliteľné

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ERA Agenta na ERA Server.