Udalosti exportované vo formáte JSON

JSON je jednoduchý formát pre výmenu dát. Je založený na dvoch dátových štruktúrach: kolekcia párov názov-hodnota a zoradený zoznam hodnôt.

Exportované udalosti

Táto sekcia obsahuje podrobnosti o formáte a význame atribútov všetkých exportovaných udalostí. Správa o udalosti má podobu objektu JSON vrátane niektorých povinných a voliteľných kľúčov (atribútov). Každá exportovaná udalosť bude obsahovať nasledujúci kľúč:

event_type

reťazec

 

Typ exportovanej udalosti: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

reťazec

voliteľné

IPv4 adresa počítača, ktorý generoval udalosť.

ipv6

reťazec

voliteľné

IPv6 adresa počítača, ktorý generoval udalosť.

source_uuid

reťazec

 

UUID počítača, ktorý generoval udalosť.

occurred

reťazec

 

Čas vo formáte UTC, kedy udalosť vznikla. Formát: %d-%b-%Y %H:%M:%S.

severity

reťazec

 

Závažnosť udalosti. Možné hodnoty (od najmenej závažnej po najviac závažnú) sú: Informácie, Upozornenie, Varovanie, Chyba, Kritický, Závažný.

 

Vlastné kľúče (atribúty) podľa event_type:

1. ThreatEvent

Všetky záznamy o zachytených hrozbách sú spravované koncovými bezpečnostnými produktmi a odosielané na Syslog. Záznam vyzerá nasledovne:

threat_type

reťazec

voliteľné

Typ hrozby

threat_name

reťazec

voliteľné

Názov hrozby

threat_flags

reťazec

voliteľné

Príznaky súvisiace s hrozbou

scanner_id

reťazec

voliteľné

ID skenera

scan_id

reťazec

voliteľné

ID kontroly

engine_version

reťazec

voliteľné

Verzia skenovacieho jadra

object_type

reťazec

voliteľné

Typ objektu týkajúci sa tejto udalosti

object_uri

reťazec

voliteľné

URI objektu

action_taken

reťazec

voliteľné

Akcia vykonaná koncovým produktom

action_error

reťazec

voliteľné

Chybové hlásenie v prípade, že „akcia“ nebola úspešná.

threat_handled

bool

voliteľné

Udáva, či hrozba bola alebo nebola vyriešená.

need_restart

bool

voliteľné

Informácia o tom, či je potrebný reštart.

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

circumstances

reťazec

voliteľné

Krátka informácia o tom, čo spôsobilo danú udalosť.

hash

reťazec

voliteľné

SHA1 hash (hrozby) dátového toku.

firstseen

reťazec

voliteľné

Čas a dátum, kedy bola hrozba po prvýkrát zistená na zariadení. ESMC používa rozdielne formáty času a dátumu pre atribút firstseen (a každý iný atribút času a dátumu) v závislosti od výstupného formátu (JSON alebo LEEF):

JSON formát: "%d-%b-%Y %H:%M:%S"

LEEF formát: "%b %d %Y %H:%M:%S"

2. FirewallAggregated_Event

Protokoly udalostí generované firewallom ESET agreguje riadiaci ESET Management Agent na účely zníženia množstva dát prenášaných počas replikácie ESET Management Agenta/ESMC Servera. Záznam o udalostiach firewallu vyzerá nasledovne:

event

reťazec

voliteľné

Názov udalosti

source_address

reťazec

voliteľné

Adresa zdroja udalosti

source_address_type

reťazec

voliteľné

Typ adresy zdroja udalosti

source_port

číslo

voliteľné

Port zdroja udalosti

target_address

reťazec

voliteľné

Adresa cieľa udalosti

target_address_type

reťazec

voliteľné

Typ adresy cieľa udalosti

target_port

číslo

voliteľné

Port cieľa udalosti

protocol

reťazec

voliteľné

Protokol

account

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

process_name

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

rule_name

reťazec

voliteľné

Názov pravidla

rule_id

reťazec

voliteľné

ID pravidla

inbound

bool

voliteľné

Informácia, či išlo o prichádzajúce pripojenie.

threat_name

reťazec

voliteľné

Názov hrozby

aggregate_count

číslo

voliteľné

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ESMC Agenta na ESET Management Server.

3. HIPSAggregated_Event

Udalosti z modulu HIPS (Host-based Intrusion Prevention System) sú filtrované na základe závažnosti pred tým, ako sú ďalej odosielané v podobe Syslog správ. Na Syslog sú odosielané len udalosti s úrovňou závažnosti Chyba, Kritický a Závažný. Záznam o udalostiach modulu HIPS vyzerá nasledovne:

application

reťazec

voliteľné

Názov aplikácie

operation

reťazec

voliteľné

Operácia

target

reťazec

voliteľné

Cieľ

action

reťazec

voliteľné

Akcia

rule_name

reťazec

voliteľné

Názov pravidla

rule_id

reťazec

voliteľné

ID pravidla

aggregate_count

číslo

voliteľné

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ESMC Agenta na ESET Management Server.

4. Audit

ESMC preposiela do Syslogu správy z interného protokolu auditu servera. Záznam o udalostiach vyzerá nasledovne:

domain

reťazec

voliteľné

Doména protokolu auditu

action

reťazec

voliteľné

Vykonávaná akcia

target

reťazec

voliteľné

Cieľ, na ktorom je akcia vykonávaná.

detail

reťazec

voliteľné

Podrobný popis akcie

user

reťazec

voliteľné

Užívateľ vykonávajúci akciu

result

reťazec

voliteľné

Výsledok akcie

5. Enterprise Inspector Alert Event

ESMC preposiela do Syslogu upozornenia ESET Enterprise Inspector. Záznam o udalostiach vyzerá nasledovne:

processname

reťazec

voliteľné

Názov procesu, ktorý spôsobil upozornenie.

username

reťazec

voliteľné

Vlastník procesu

rulename

reťazec

voliteľné

Názov Enterprise Inspector pravidla, ktoré aktivovalo toto upozornenie.

count

číslo

voliteľné

Počet upozornení tohto typu vygenerovaných od posledného upozornenia.