Événements exportés au format JSON

JSON est un format léger pour l'échange de données. Il repose sur un groupe de paires nom/valeur et une liste classée de valeurs.

Événements exportés

Cette section contient des détails sur le format et la signification des attributs de tous les événements exportés. Le message d'événement prend la forme d'un objet JSON avec quelques clés obligatoires et facultatives. Chaque événement exporté contiendra la clé suivante :

event_type

string

 

Type d'événements exportés : Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

string

facultatif

Adresse IPv4 de l'ordinateur générant l'événement.

ipv6

string

facultatif

Adresse IPv6 de l'ordinateur générant l'événement.

source_uuid

string

 

UUID de l'ordinateur générant l'événement.

occurred

string

 

Heure UTC d'occurrence de l'événement. Le format est %d-%b-%Y %H:%M:%S

severity

string

 

Gravité de l'événement. Les valeurs possibles (du moins grave au plus grave) sont les suivantes : Information Notice Warning Error CriticalFatal

 

Clés personnalisées selon event_type :

1. ThreatEvent

Tous les événements de menace générés par des points de terminaison gérés seront transférés à Syslog. Clé spécifique à un événement de menace :

threat_type

string

facultatif

Type de menace

threat_name

string

facultatif

Nom de la menace

threat_flags

string

facultatif

Indicateurs liés à des menaces

scanner_id

string

facultatif

ID d'analyseur

scan_id

string

facultatif

ID d'analyse

engine_version

string

facultatif

Version du moteur d'analyse

object_type

string

facultatif

Type d'objet lié à cet événement

object_uri

string

facultatif

URI de l'objet

action_taken

string

facultatif

Action prise par le point de terminaison

action_error

string

facultatif

Message d'erreur en cas d'échec de « l'action »

threat_handled

bool

facultatif

Indique si la menace a été gérée ou non

need_restart

bool

facultatif

Indique si un redémarrage est nécessaire ou non

username

string

facultatif

Nom du compte utilisateur associé à l'événement

processname

string

facultatif

Nom du processus associé à l'événement

circumstances

string

facultatif

Brève description de la cause de l'événement

hash

string

facultatif

Hachage SHA1 du flux de données (menace).

firstseen

string

facultatif

Date et heure auxquelles la menace a été détectée pour la première fois sur cette machine. ESMC utilise des formats date-heure différents pour l'attribut firstseen (et tout autre attribut date-heure) selon le format de sortie du journal (JSON ou LEEF) :

JSON format: "%d-%b-%Y %H:%M:%S"

LEEF format: "%b %d %Y %H:%M:%S"

2. FirewallAggregated_Event

Les journaux d'événements générés par le pare-feu personnel d'ESET sont agrégés par le gestionnaire ESET Management Agent pour éviter le gaspillage de bande passante pendant la réplication d'ESET Management Agent/ESMC Server. Clé spécifique à un événement de pare-feu :

event

string

facultatif

Nom de l'événement

source_address

string

facultatif

Adresse de la source de l'événement

source_address_type

string

facultatif

Type d'adresse de la source de l'événement

source_port

number

facultatif

Port de la source de l'événement

target_address

string

facultatif

Adresse de la destination de l'événement

target_address_type

string

facultatif

Type d'adresse de la destination de l'événement

target_port

number

facultatif

Port de la destination de l'événement

protocol

string

facultatif

Protocole

account

string

facultatif

Nom du compte utilisateur associé à l'événement

process_name

string

facultatif

Nom du processus associé à l'événement

rule_name

string

facultatif

Nom de la règle

rule_id

string

facultatif

ID de règle

inbound

bool

facultatif

Indique si la connexion était entrante ou non

threat_name

string

facultatif

Nom de la menace

aggregate_count

number

facultatif

Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre ESMC Server et le gestionnaire ESET Management Agent.

3. HIPSAggregated_Event

Les événements du système HIPS (Host-based Intrusion Prevention System) sont filtrés sur la gravité avant d'être transmis plus avant en tant que messages Syslog. Seuls les événements dont les niveau de gravité sont Error, Critical et Fatal sont envoyés à Syslog. Les attributs spécifiques à HIPS sont les suivants :

application

string

facultatif

Nom de l'application

operation

string

facultatif

Opération

target

string

facultatif

Cible

action

string

facultatif

Action

rule_name

string

facultatif

Nom de la règle

rule_id

string

facultatif

ID de règle

aggregate_count

number

facultatif

Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre ESMC Server et le gestionnaire ESET Management Agent.

4. Événement d'audit

ESMC transfère les messages du journal d'audit interne du serveur à Syslog. Les attributs spécifiques sont les suivants :

domain

string

facultatif

Domaine du journal d'audit

action

string

facultatif

Action exécutée

target

string

facultatif

L'action cible est effectuée sur

detail

string

facultatif

Description détaillée de l'action

user

string

facultatif

Utilisateur de sécurité impliqué

result

string

facultatif

Résultat de l'action

5. Événement d'alerte Enterprise Inspector

ESMC transfère les alertes d'ESET Enterprise Inspector à Syslog. Les attributs spécifiques sont les suivants :

processname

string

facultatif

Nom du processus entraînant cette alerte

username

string

facultatif

Détenteur du processus

rulename

string

facultatif

Nom de la règle Enterprise Inspector déclenchant cette alerte

count

number

facultatif

Nombre d'alertes de ce type générées depuis la dernière alerte