Događaji izvezeni u format JSON
JSONjednostavan je format za razmjenu podataka. Temelji se na skupu parova naziva/vrijednosti i poredanog popisa vrijednosti.
Izvezeni događaji
Ovaj odjeljak sadrži pojedinosti o formatu i značenju atributa svih izvezenih događaja. Poruka događaja ima oblik JSON objekta s nekim obaveznim i nekim dodatnim ključevima. Svaki izvezeni događaj sadržavat će sljedeći ključ:
event_type |
niz |
|
Vrsta izvezenih događaja: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event. |
---|---|---|---|
ipv4 |
niz |
nije obavezno |
IPv4 adresa računala koje generira događaj. |
ipv6 |
niz |
nije obavezno |
IPv6 adresa računala koje generira događaj. |
source_uuid |
niz |
|
UUID računala koje generira događaj. |
occurred |
niz |
|
UTC vrijeme zbivanja događaja. Format je %d-%b-%Y %H:%M:%S |
severity |
niz |
|
Razina ozbiljnosti događaja. Moguće su sljedeće vrijednosti (od najmanje ozbiljne do najozbiljnije): Informacija Obavijest Upozorenje Pogreška Kritična pogreška Kobna pogreška |
Prilagođeni ključevi prema stavci event_type:
1. ThreatEvent
Svi događaji prijetnji koje generiraju upravljani sigurnosni programi prosljeđuju se Syslogu. Posebni ključ događaja prijetnje:
threat_type |
niz |
nije obavezno |
Vrsta prijetnje |
---|---|---|---|
threat_name |
niz |
nije obavezno |
Naziv prijetnje |
threat_flags |
niz |
nije obavezno |
Zastavice koje se odnose na prijetnje |
scanner_id |
niz |
nije obavezno |
ID skenera |
scan_id |
niz |
nije obavezno |
ID skeniranja |
engine_version |
niz |
nije obavezno |
Verzija sustava za skeniranje |
object_type |
niz |
nije obavezno |
Vrsta objekta povezanog s ovim događajem |
object_uri |
niz |
nije obavezno |
URI objekta |
action_taken |
niz |
nije obavezno |
Radnja koju poduzima Endpoint |
action_error |
niz |
nije obavezno |
Poruka o pogrešci u slučaju kada „radnja” nije uspješna |
threat_handled |
bool |
nije obavezno |
Označava je li prijetnja riješena |
need_restart |
bool |
nije obavezno |
Označava je li potrebno ponovno pokretanje |
username |
niz |
nije obavezno |
Naziv korisničkog računa povezanog s događajem |
processname |
niz |
nije obavezno |
Naziv procesa povezanog s događajem |
circumstances |
niz |
nije obavezno |
Kratak opis uzroka događaja |
hash |
niz |
nije obavezno |
SHA1 hash protoka podataka (prijetnja). |
firstseen |
niz |
nije obavezno |
Vrijeme i datum kad je prijetnja prvu put otkrivena na tom računalu. ESMC upotrebljava različite formate datuma i vremena za atribut firstseen (i sve druge atribute datuma i vremena) ovisno o izlaznom formatu dnevnika (JSON ili LEEF): •JSON format: "%d-%b-%Y %H:%M:%S" •LEEF format: "%b %d %Y %H:%M:%S" |
2. FirewallAggregated_Event
Dnevnike događaja koje je stvorio ESET-ov osobni firewall prikuplja izvršni ESET Management agent da bi se izbjeglo trošenje internetske veze tijekom replikacije ESET Management agenta / ESMC servera. Posebni ključ događaja firewalla:
event |
niz |
nije obavezno |
Naziv događaja |
---|---|---|---|
source_address |
niz |
nije obavezno |
Adresa izvora događaja |
source_address_type |
niz |
nije obavezno |
Vrsta adrese izvora događaja |
source_port |
broj |
nije obavezno |
Port izvora događaja |
target_address |
niz |
nije obavezno |
Adresa odredišta događaja |
target_address_type |
niz |
nije obavezno |
Vrsta adrese odredišta događaja |
target_port |
broj |
nije obavezno |
Port odredišta događaja |
protocol |
niz |
nije obavezno |
Protokol |
account |
niz |
nije obavezno |
Naziv korisničkog računa povezanog s događajem |
process_name |
niz |
nije obavezno |
Naziv procesa povezanog s događajem |
rule_name |
niz |
nije obavezno |
Naziv pravila |
rule_id |
niz |
nije obavezno |
ID pravila |
inbound |
bool |
nije obavezno |
Označava je li veza bila ulazna |
threat_name |
niz |
nije obavezno |
Naziv prijetnje |
aggregate_count |
broj |
nije obavezno |
Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESMC servera i izvršnog ESET Management agenta. |
3. HIPSAggregated_Event
Događaji iz sustava za sprečavanje upada temeljenog na hostu filtriraju se s obzirom na ozbiljnost prije nego što se pošalju dalje kao Syslog poruke. Syslogu se šalju samo događaji koji imaju razinu ozbiljnosti Pogreška, Kritična pogreška i Kobna pogreška. Posebni su HIPS atributi sljedeći:
application |
niz |
nije obavezno |
Naziv aplikacije |
---|---|---|---|
operation |
niz |
nije obavezno |
Operacija |
target |
niz |
nije obavezno |
Objekt |
action |
niz |
nije obavezno |
Radnja |
rule_name |
niz |
nije obavezno |
Naziv pravila |
rule_id |
niz |
nije obavezno |
ID pravila |
aggregate_count |
broj |
nije obavezno |
Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESMC servera i izvršnog ESET Management agenta. |
4. Provjera događaja
ESMC prosljeđuje poruke internog dnevnika provjere servera Syslogu. Posebni su atributi sljedeći:
domain |
niz |
nije obavezno |
Domena dnevnika provjere |
---|---|---|---|
action |
niz |
nije obavezno |
Radnja koja se odvija |
target |
niz |
nije obavezno |
Ciljna radnja radi na |
detail |
niz |
nije obavezno |
Detaljni opis radnje |
user |
niz |
nije obavezno |
Korisnik zaštite koji je uključen |
result |
niz |
nije obavezno |
Rezultat radnje |
5. Događaj upozorenja programa Enterprise Inspector
ESMC prosljeđuje upozorenja programa ESET Enterprise Inspector Syslogu. Posebni su atributi sljedeći:
processname |
niz |
nije obavezno |
Naziv procesa koji uzrokuje upozorenje |
---|---|---|---|
username |
niz |
nije obavezno |
Vlasnik procesa |
rulename |
niz |
nije obavezno |
Naziv pravila programa Enterprise Inspector koje aktivira ovo upozorenje |
count |
broj |
nije obavezno |
Broj upozorenja ove vrste generiranih od posljednjeg upozorenja |