Export von Ereignissen im JSON-Format

JSON ist ein schlankes Format für den Austausch von Daten. Dieses Format verwendet eine Sammlung von Name-Wert-Paaren und eine geordnete Liste von Werten.

Exportierte Ereignisse

Dieser Abschnitt enthält Details zu Format und Bedeutung der Attribute aller exportierten Ereignisse. Die Ereignisnachricht wird als JSON-Objekt mit Pflicht- und optionalen Schlüsseln formatiert. Jedes exportierte Ereignis enthält den folgenden Schlüssel:

event_type

string

 

Typ der exportierten Ereignisse: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

string

optional

IPv4-Adresse des Computers, der das Ereignis generiert hat.

ipv6

string

optional

IPv6-Adresse des Computers, der das Ereignis generiert hat.

source_uuid

string

 

UUID des Computers, der das Ereignis generiert hat.

occurred

string

 

UTC-Zeitpunkt, zu dem das Ereignis aufgetreten ist. Format: %d-%b-%Y %H:%M:%S

severity

string

 

Schweregrad des Ereignisses. Mögliche Werte (vom niedrigsten zum höchsten Schweregrad): Information Notice Warning Error Critical Fatal

 

Benutzerdefinierte Schlüssel gemäß event_type:

1. ThreatEvent

Alle von verwalteten Endpunkten generierten Bedrohungsereignisse werden an Syslog weitergeleitet. Spezifische Schlüssel für Bedrohungs-Ereignisse:

threat_type

string

optional

Bedrohungsart

threat_name

string

optional

Bedrohungsname

threat_flags

string

optional

Bedrohungsbezogene Flags

scanner_id

string

optional

Scanner-ID

scan_id

string

optional

Scan-ID

engine_version

string

optional

Version des Prüfmoduls

object_type

string

optional

Art des Objekts, auf sich das Ereignis bezieht

object_uri

string

optional

Objekt-URI

action_taken

string

optional

Auf dem Endpunkt ausgeführte Aktion

action_error

string

optional

Fehlermeldung, falls die Aktion nicht erfolgreich war

threat_handled

bool

optional

Gibt an, ob die Bedrohung abgewendet wurde

need_restart

bool

optional

Gibt an, ob ein Neustart erforderlich ist

username

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

processname

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

circumstances

string

optional

Kurze Beschreibung der Ursache des Ereignisses

hash

string

optional

SHA1-Hash des Datenstroms (Bedrohung).

firstseen

string

optional

Zeitpunkt der ersten Erkennung der Bedrohung auf diesem Computer. Das von ESMC verwendete Datums- und Zeitformat für das firstseen-Attribut (und andere Datums- und Uhrzeitattribute) hängt vom Log-Ausgabeformat ab (JSON oder LEEF):

JSON formatieren "%d-%b-%Y %H:%M:%S"

LEEF formatieren"%b %d %Y %H:%M:%S"

2. FirewallAggregated_Event

Die von ESET Personal Firewall generierten Ereignis-Logs werden von dem verwaltenden ESET Management Agenten aggregiert, um die benötigte Bandbreite für die Replikation zwischen ESET Management Agent und ESMC Server zu reduzieren. Spezifische Schlüssel für Firewall-Ereignisse:

event

string

optional

Ereignisname

source_address

string

optional

Adresse der Ereignisquelle

source_address_type

string

optional

Art der Adresse der Ereignisquelle

source_port

Nummer

optional

Port der Ereignisquelle

target_address

string

optional

Adresse des Ereignisziels

target_address_type

string

optional

Art der Adresse des Ereignisziels

target_port

Nummer

optional

Port des Ereignisziels

protocol

string

optional

Protokoll

account

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

process_name

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

rule_name

string

optional

Regelname

rule_id

string

optional

Regel-ID

inbound

bool

optional

Gibt an, ob die Verbindung eingehend war

threat_name

string

optional

Bedrohungsname

aggregate_count

Nummer

optional

Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESMC Server und verwaltendem ESET Management Agent generiert wurden

3. HIPSAggregated_Event

Ereignisse aus dem Host-based Intrusion Prevention System werden zunächst nach Schweregrad gefiltert und anschließend als Syslog-Nachrichten weitergeleitet. Nur Ereignisse der Schweregrade Error, Critical und Fatal werden an Syslog weitergeleitet. HIPS-spezifische Attribute:

application

string

optional

Anwendungsname

operation

string

optional

Vorgang

target

string

optional

Ziel

action

string

optional

Aktion

rule_name

string

optional

Regelname

rule_id

string

optional

Regel-ID

aggregate_count

Nummer

optional

Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESMC Server und verwaltendem ESET Management Agent generiert wurden

4. Überwachungs-Ereignis

ESMC leitet die internen Audit-Log-Nachrichten des Servers an Syslog weiter. Spezifische Attribute:

domain

string

optional

Audit-Log-Domäne

action

string

optional

Ausgeführte Aktion

target

string

optional

Ziel der Aktion

detail

string

optional

Ausführliche Beschreibung der Aktion

user

string

optional

Beteiligter Sicherheitsbenutzer

result

string

optional

Resultat der Aktion

5. Enterprise Inspector-Warnungs-Ereignis

ESMC leitet ESET Enterprise Inspector-Warnungen an Syslog weiter. Spezifische Attribute:

processname

string

optional

Name des Prozesses, der diese Warnung ausgelöst hat

username

string

optional

Eigentümer des Prozesses

rulename

string

optional

Name der Enterprise Inspector-Regel, die diese Warnung ausgelöst hat

count

Nummer

optional

Anzahl der Warnungen von diesem Typ seit der letzten Warnung