Události exportované do JSON formátu

JSON (JavaScript Object Notation) je jednoduchý formát pro výměnu dat. Je založený na dvou datových strukturách: kolekce párů název-hodnota a seřazeném seznamu hodnot.

Exportované události

V této části uvádíme formát všech exportovaných událostí společně s popisem jednotlivých atributů. Zprávy událostí jsou reprezentovány JSON objektem, kdy některé části jsou povinné, jiné volitelné. Každá exportovaná událost bude obsahovat tyto atributy:

event_type

řetězec

 

Typ exportované události: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

řetězec

volitelné

IPv4 adresa počítače, který vygeneroval událost

ipv6

řetězec

volitelné

IPv6 adresa počítače, který vygeneroval událost

source_uuid

řetězec

 

UUID počítače, který vygeneroval událost

occurred

řetězec

 

Čas v UTC formátu, kdy událost vznikla. Formát: %d-%b-%Y %H:%M:%S

severity

řetězec

 

Závažnost události. Možné hodnoty (seřazeno od málo kritických po nejzávažnější): Oznámení, Informační, Varování, Chyba, Kritické, Mimořádné

 

Vlastní klíče související s event_type:

1. ThreatEvent

Informace o všech zachycených hrozbách budou zasílány na Syslog server. Záznam o takové události vypadá následovně:

threat_type

řetězec

volitelné

Typ hrozby

threat_name

řetězec

volitelné

Název hrozby

threat_flags

řetězec

volitelné

Štítek související s hrozbou

scanner_id

řetězec

volitelné

ID skeneru

scan_id

řetězec

volitelné

ID kontroly

engine_version

řetězec

volitelné

Verze skenovacího jádra

object_type

řetězec

volitelné

Typ objektu související s touto událostí

object_uri

řetězec

volitelné

URI objektu

action_taken

řetězec

volitelné

Provedená akce s objektem

action_error

řetězec

volitelné

Chybová zpráva v případě, že akci se nepodařilo úspěšně provést

threat_handled

bool

volitelné

Informace o tom, zda byla hrozba vyřešena

need_restart

bool

volitelné

Informace, zda je vyžadován restart

username

řetězec

volitelné

Název uživatelského účtu spojeného s touto událostí

processname

řetězec

volitelné

Název procesu spojeného s touto událostí

circumstances

řetězec

volitelné

Krátký popis s informací, co způsobilo událost

hash

řetězec

volitelné

SHA1 kontrolní součet (hrozby) data streamu.

firstseen

řetězec

volitelné

Datum a čas první detekce na zařízení. V závislosti na výstupním formátu (JSON nebo LEEF) generuje ESMC firstseenatribut (a další atributy související s časem) v odlišeném tvaru:

JSON formát: "%d-%b-%Y %H:%M:%S"

LEEF formát: "%b %d %Y %H:%M:%S"

2. FirewallAggregated_Event

Informace o událostech personálního firewallu agreguje ESET Management Agent za účelem snížení množství přenášených dat během jejich replikace na ESMC server. Záznam o událostech firewallu vypadá následovně:

event

řetězec

volitelné

Název události

source_address

řetězec

volitelné

Adresa zdroje události

source_address_type

řetězec

volitelné

Typ adresy zdroje události

source_port

číslo

volitelné

Port zdroje události

target_address

řetězec

volitelné

Adresa cíle události

target_address_type

řetězec

volitelné

Typ adresy cíle události

target_port

číslo

volitelné

Port cíle události

protocol

řetězec

volitelné

Protokol

account

řetězec

volitelné

Název uživatelského účtu spojeného s touto událostí

process_name

řetězec

volitelné

Název procesu spojeného s touto událostí

rule_name

řetězec

volitelné

Název pravidla

rule_id

řetězec

volitelné

ID pravidla

inbound

bool

volitelné

Informace, zda se jednalo o příchozí spojení

threat_name

řetězec

volitelné

Název hrozby

aggregate_count

číslo

volitelné

Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET Management Agenta na ESMC Server.

3. HIPSAggregated_Event

Před odesláním událostí na syslog server jsou zprávy z modulu HIPS (Host-based Intrusion Prevention System) nejprve filtrovány podle nastavené závažnosti. Na syslog jsou odesílány pouze události se závažností: Chyba, Kritické a Mimořádné. Záznam o událostech modulu HIPS vypadá následovně:

application

řetězec

volitelné

Název aplikace

operation

řetězec

volitelné

Operace

target

řetězec

volitelné

Cíl

action

řetězec

volitelné

Akce

rule_name

řetězec

volitelné

Název pravidla

rule_id

řetězec

volitelné

ID pravidla

aggregate_count

číslo

volitelné

Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET Management Agenta na ESMC Server.

4. Audit

ESMC přeposílá na Syslog interní audit log. Záznam o událostech vypadá následovně:

domain

řetězec

volitelné

Doména

action

řetězec

volitelné

Akce

target

řetězec

volitelné

Cíl, nad kterým je akce prováděna

detail

řetězec

volitelné

Detailní popis akce

user

řetězec

volitelné

Uživatel, který akci provádí

result

řetězec

volitelné

Výsledek akce

5. Enterprise Inspector upozornění

ESMC přeposílá do syslogu také oznámení ESET Enterprise Inspector. Záznam o událostech vypadá následovně:

processname

řetězec

volitelné

Název procesu, který způsobil oznámení

username

řetězec

volitelné

Vlastník procesu

rulename

řetězec

volitelné

Název Enterprise Inspector pravidla, které aktivovalo toto oznámení

count

číslo

volitelné

Počet oznámení, vygenerovaných tímto typem, od posledního oznámení