Događaji izvezeni u format JSON

JSONjednostavan je format za razmjenu podataka. Temelji se na skupu parova naziva/vrijednosti i poredanog popisa vrijednosti.

Izvezeni događaji

Ovaj odjeljak sadrži pojedinosti o formatu i značenju atributa svih izvezenih događaja. Poruka događaja ima oblik JSON objekta s nekim obaveznim i nekim dodatnim ključevima. Svaki izvezeni događaj sadržavat će sljedeći ključ:

event_type

niz

 

Vrsta izvezenih događaja: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

niz

nije obavezno

IPv4 adresa računala koje generira događaj.

ipv6

niz

nije obavezno

IPv6 adresa računala koje generira događaj.

source_uuid

niz

 

UUID računala koje generira događaj.

occurred

niz

 

UTC vrijeme zbivanja događaja. Format je %d-%b-%Y %H:%M:%S

severity

niz

 

Razina ozbiljnosti događaja. Moguće su sljedeće vrijednosti (od najmanje ozbiljne do najozbiljnije): Informacija Obavijest Upozorenje Pogreška Kritična pogreška Kobna pogreška

 

Prilagođeni ključevi prema stavci event_type:

1. ThreatEvent

Svi događaji prijetnji koje generiraju upravljani sigurnosni programi prosljeđuju se Syslogu. Posebni ključ događaja prijetnje:

threat_type

niz

nije obavezno

Vrsta prijetnje

threat_name

niz

nije obavezno

Naziv prijetnje

threat_flags

niz

nije obavezno

Zastavice koje se odnose na prijetnje

scanner_id

niz

nije obavezno

ID skenera

scan_id

niz

nije obavezno

ID skeniranja

engine_version

niz

nije obavezno

Verzija sustava za skeniranje

object_type

niz

nije obavezno

Vrsta objekta povezanog s ovim događajem

object_uri

niz

nije obavezno

URI objekta

action_taken

niz

nije obavezno

Radnja koju poduzima Endpoint

action_error

niz

nije obavezno

Poruka o pogrešci u slučaju kada „radnja” nije uspješna

threat_handled

bool

nije obavezno

Označava je li prijetnja riješena

need_restart

bool

nije obavezno

Označava je li potrebno ponovno pokretanje

username

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

processname

niz

nije obavezno

Naziv procesa povezanog s događajem

circumstances

niz

nije obavezno

Kratak opis uzroka događaja

hash

niz

nije obavezno

SHA1 hash protoka podataka (prijetnja).

firstseen

niz

nije obavezno

Vrijeme i datum kad je prijetnja prvu put otkrivena na tom računalu. ESMC upotrebljava različite formate datuma i vremena za atribut firstseen (i sve druge atribute datuma i vremena) ovisno o izlaznom formatu dnevnika (JSON ili LEEF):

JSON format: "%d-%b-%Y %H:%M:%S"

LEEF format: "%b %d %Y %H:%M:%S"

2. FirewallAggregated_Event

Dnevnike događaja koje je stvorio ESET-ov osobni firewall prikuplja izvršni ESET Management agent da bi se izbjeglo trošenje internetske veze tijekom replikacije ESET Management agenta / ESMC servera. Posebni ključ događaja firewalla:

event

niz

nije obavezno

Naziv događaja

source_address

niz

nije obavezno

Adresa izvora događaja

source_address_type

niz

nije obavezno

Vrsta adrese izvora događaja

source_port

broj

nije obavezno

Port izvora događaja

target_address

niz

nije obavezno

Adresa odredišta događaja

target_address_type

niz

nije obavezno

Vrsta adrese odredišta događaja

target_port

broj

nije obavezno

Port odredišta događaja

protocol

niz

nije obavezno

Protokol

account

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

process_name

niz

nije obavezno

Naziv procesa povezanog s događajem

rule_name

niz

nije obavezno

Naziv pravila

rule_id

niz

nije obavezno

ID pravila

inbound

bool

nije obavezno

Označava je li veza bila ulazna

threat_name

niz

nije obavezno

Naziv prijetnje

aggregate_count

broj

nije obavezno

Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESMC servera i izvršnog ESET Management agenta.

3. HIPSAggregated_Event

Događaji iz sustava za sprečavanje upada temeljenog na hostu filtriraju se s obzirom na ozbiljnost prije nego što se pošalju dalje kao Syslog poruke. Syslogu se šalju samo događaji koji imaju razinu ozbiljnosti Pogreška, Kritična pogreška i Kobna pogreška. Posebni su HIPS atributi sljedeći:

application

niz

nije obavezno

Naziv aplikacije

operation

niz

nije obavezno

Operacija

target

niz

nije obavezno

Objekt

action

niz

nije obavezno

Radnja

rule_name

niz

nije obavezno

Naziv pravila

rule_id

niz

nije obavezno

ID pravila

aggregate_count

broj

nije obavezno

Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESMC servera i izvršnog ESET Management agenta.

4. Provjera događaja

ESMC prosljeđuje poruke internog dnevnika provjere servera Syslogu. Posebni su atributi sljedeći:

domain

niz

nije obavezno

Domena dnevnika provjere

action

niz

nije obavezno

Radnja koja se odvija

target

niz

nije obavezno

Ciljna radnja radi na

detail

niz

nije obavezno

Detaljni opis radnje

user

niz

nije obavezno

Korisnik zaštite koji je uključen

result

niz

nije obavezno

Rezultat radnje

5. Događaj upozorenja programa Enterprise Inspector

ESMC prosljeđuje upozorenja programa ESET Enterprise Inspector Syslogu. Posebni su atributi sljedeći:

processname

niz

nije obavezno

Naziv procesa koji uzrokuje upozorenje

username

niz

nije obavezno

Vlasnik procesa

rulename

niz

nije obavezno

Naziv pravila programa Enterprise Inspector koje aktivira ovo upozorenje

count

broj

nije obavezno

Broj upozorenja ove vrste generiranih od posljednjeg upozorenja