События, экспортируемые в формат JSON

JSON — облегченный формат для обмена данными. Он построен на наборе пар «имя-значение» и упорядоченном списке значений.

Экспортируемые события

Этот раздел содержит сведения о формате и значение атрибутов всех экспортируемых событий. Сообщение о событии создается в виде объекта JSON с обязательными и необязательными ключами. Каждое экспортируемое событие будет содержать следующий ключ:

event_type

строка

 

Тип экспортируемых событий: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

строка

необязательно

IPv4-адрес компьютера, создавшего событие.

ipv6

строка

необязательно

IPv6-адрес компьютера, создавшего событие.

source_uuid

строка

 

Идентификатор UUID компьютера, создавшего событие.

occurred

строка

 

Время события в формате UTC. Используется формат %d-%b-%Y %H:%M:%S.

severity

строка

 

Серьезность события. Возможные значения (от наименее до наиболее серьезных событий): «Информация», «Примечание», «Предупреждение», «Ошибка», «Критическая ошибка», «Неустранимая ошибка».

 

Настраиваемые ключи в соответствии с event_type:

1. ThreatEvent

Все события типа «Угроза», которые создаются управляемыми конечными точками, будут перенаправлены в системный журнал. Ключи событий «Угроза» перечислены в таблице ниже.

threat_type

строка

необязательно

Тип угрозы.

threat_name

строка

необязательно

Имя угрозы.

threat_flags

строка

необязательно

Флаги, связанные с угрозой

scanner_id

строка

необязательно

Идентификатор модуля сканирования.

scan_id

строка

необязательно

Идентификатор сканирования.

engine_version

строка

необязательно

Версия модуля сканирования.

object_type

строка

необязательно

Тип объекта, связанного с этим событием.

object_uri

строка

необязательно

URI объекта

action_taken

строка

необязательно

Действие, которое выполнила конечная точка.

action_error

строка

необязательно

Сообщение об ошибке, если действие не удалось выполнить.

threat_handled

логическое значение

необязательно

Показывает, была ли обработана угроза.

need_restart

логическое значение

необязательно

Показывает, нужна ли перезагрузка.

username

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

processname

строка

необязательно

Имя процесса, связанного с событием.

circumstances

строка

необязательно

Краткое описание причины события.

hash

строка

необязательно

SHA1 хэш потока данных (угрозы).

firstseen

строка

необязательно

Время и дата, когда угроза была обнаружена впервые на этом компьютере. ESMC использует разные форматы даты и времени для firstseen атрибута (и любого другого атрибута даты и времени) в зависимости от формата вывода журнала (JSON или LEEF):

JSON формат: "%d-%b-%Y %H:%M:%S"

LEEF формат:"%b %d %Y %H:%M:%S"

2. FirewallAggregated_Event

Чтобы не перегружать полосу пропускания во время репликации агента ESET Management или ESMC Server, журналы событий, созданные персональным файерволом ESET, ведет управляющий агент ESET Management. Ключи событий файервола приведены в таблице ниже.

event

строка

необязательно

Имя события.

source_address

строка

необязательно

Адрес источника события.

source_address_type

строка

необязательно

Тип адреса источника события.

source_port

число

необязательно

Порт источника события.

target_address

строка

необязательно

Адрес цели события.

target_address_type

строка

необязательно

Тип адреса цели события.

target_port

число

необязательно

Порт цели события.

protocol

строка

необязательно

Протокол

account

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

process_name

строка

необязательно

Имя процесса, связанного с событием.

rule_name

строка

необязательно

Имя правила

rule_id

строка

необязательно

Идентификатор правила

inbound

логическое значение

необязательно

Показывает, является ли подключение входящим.

threat_name

строка

необязательно

Имя угрозы.

aggregate_count

число

необязательно

Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между ESMC Server и управляющим агентом ESET Management.

3. HIPSAggregated_Event

События системы предотвращения вторжений на узел фильтруются по уровню серьезности перед отправкой в качестве сообщений системного журнала. В системный журнал отправляются только события с уровнями серьезности Ошибка, Критическая ошибка и Неустранимая ошибка. В таблице ниже перечислены атрибуты HIPS.

application

строка

необязательно

Имя приложения

operation

строка

необязательно

Операция

target

строка

необязательно

Объект

action

строка

необязательно

Действие

rule_name

строка

необязательно

Имя правила

rule_id

строка

необязательно

Идентификатор правила

aggregate_count

число

необязательно

Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между ESMC Server и управляющим агентом ESET Management.

4. Событие аудита

ESMC направляет сообщения журнала внутреннего аудита сервера в системный журнал. В таблице ниже перечислены атрибуты.

domain

строка

необязательно

Домен журнала аудита

action

строка

необязательно

Выполняемое действие

target

строка

необязательно

Объект целевого действия

detail

строка

необязательно

Подробное описание действия

user

строка

необязательно

Пользователь программы для обеспечения безопасности

result

строка

необязательно

Результат действия

5. Событие предупреждения Enterprise Inspector

ESMC направляет предупреждения ESET Enterprise Inspector в системный журнал. В таблице ниже перечислены атрибуты.

processname

строка

необязательно

Имя процесса, вызвавшего предупреждение.

username

строка

необязательно

Владелец процесса

rulename

строка

необязательно

Имя правила Enterprise Inspector, инициировавшего предупреждение

count

число

необязательно

Число предупреждений этого типа, сгенерированных с момента последнего предупреждения