Eventos exportados a formato JSON

JSON es un formato liviano para el intercambio de datos. Se forma con una colección de parejas de nombres y valores, y una lista ordenada de valores.

Eventos exportados

Esta sección contiene información sobre el formato y el significado de los atributos de todos los eventos exportados. El mensaje de evento se encuentra en la forma de un objeto JSON con algunas claves obligatorias y otras opcionales. Cada evento exportado contendrá la siguiente clave:

event_type

string

 

Tipo de eventos exportados: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event.

ipv4

string

opcional

Dirección IPv4 del equipo que genera el evento.

ipv6

string

opcional

Dirección IPv6 del equipo que genera el evento.

source_uuid

string

 

UUID del equipo que genera el evento.

occurred

string

 

Hora UTC de la ocurrencia del evento. El formato es %d-%b-%Y %H:%M:%S

severity

string

 

Severidad del evento. Los valores posibles (de menos severo a más severo) son: Información Aviso Advertencia Error CriticalFatal

 

Claves personalizadas en función del event_type:

1. ThreatEvent

Todos los eventos de detección generados por puntos finales gestionados serán remitidos a Syslog. Clave específica del evento de detección:

threat_type

string

opcional

Tipo de detección

threat_name

string

opcional

Nombre de la detección

threat_flags

string

opcional

Indicadores relacionados de la detección

scanner_id

string

opcional

ID de exploración

scan_id

string

opcional

ID de exploración

engine_version

string

opcional

Versión del motor de exploración

object_type

string

opcional

Tipo de objeto relacionado con este evento

object_uri

string

opcional

URI del objeto

action_taken

string

opcional

Medidas adoptadas por el punto final

action_error

string

opcional

Mensaje de error en caso de que la “acción” haya fracasado

threat_handled

bool

opcional

Indica si la detección pudo ser controlada o no

need_restart

bool

opcional

Define si es necesario reiniciar o no

username

string

opcional

Nombre de la cuenta de usuario asociada con el evento

processname

string

opcional

Nombre del proceso asociado al evento

circumstances

string

opcional

Breve descripción de lo que causó el evento

hash

string

opcional

Hash SHA1 del flujo de datos (de la detección).

firstseen

string

opcional

Hora y fecha cuando la detección se detectó por primera vez en ese equipo. ESMC utiliza diferentes formatos de fecha-hora para el atributo firstseen (y todos los demás atributos fecha-hora) dependiendo del formato de salida del registro (JSON o LEEF):

JSON formato: "%d-%b-%Y %H:%M:%S"

LEEF formato:"%b %d %Y %H:%M:%S"

2. FirewallAggregated_Event

Los registros de eventos generados por ESET Firewall personal se agregan por la administración del agente ESET Management para evitar el desperdicio de ancho de banda durante la replicación del agente ESET Management o del servidor ESMC. Clave específica del evento de Firewall:

event

string

opcional

Nombre del evento

source_address

string

opcional

Dirección del origen del evento

source_address_type

string

opcional

Tipo de dirección del origen del evento

source_port

número

opcional

Puerto de la fuente del evento

target_address

string

opcional

Dirección de destino del evento

target_address_type

string

opcional

Tipo de dirección del destino del evento

target_port

número

opcional

Puerto del destino del evento

protocol

string

opcional

Protocolo

account

string

opcional

Nombre de la cuenta de usuario asociada con el evento

process_name

string

opcional

Nombre del proceso asociado al evento

rule_name

string

opcional

Nombre de regla

rule_id

string

opcional

ID de la regla

inbound

bool

opcional

Define si la conexión era de entrada o no

threat_name

string

opcional

Nombre de la detección

aggregate_count

número

opcional

Define cuántos mensajes iguales fueron generados por el punto final entre dos replicaciones consecutivas entre el servidor ESMC y la gestión del agente ESET Management

3. HIPSAggregated_Event

Los eventos del Sistema de prevención de intrusiones basado en host se filtran según la severidad antes de ser enviados como mensajes de Syslog. Sólo los eventos con los niveles de severidad Error, Crítico y Fatal son enviados a Syslog. Los atributos específicos de HIPS son los siguientes:

application

string

opcional

Nombre de la aplicación

operation

string

opcional

Operación

target

string

opcional

Destino

action

string

opcional

Acción

rule_name

string

opcional

Nombre de regla

rule_id

string

opcional

ID de la regla

aggregate_count

número

opcional

Define cuántos mensajes iguales fueron generados por el punto final entre dos replicaciones consecutivas entre el servidor ESMC y la gestión del agente ESET Management

4. Evento de auditoría

ESMC envía los mensajes de registro de auditoría interna del servidor a Syslog. Los atributos específicos son los siguientes:

domain

string

opcional

Dominio de registro de auditoría

action

string

opcional

Acción que se lleva a cabo

target

string

opcional

Acción de destino que está en funcionamiento

detail

string

opcional

Descripción detallada de la acción

user

string

opcional

Usuario de seguridad involucrado

result

string

opcional

Resultado de la acción

5. Evento de alertas de Enterprise Inspector

ESMC envía alertas de ESET Enterprise Inspector a Syslog. Los atributos específicos son los siguientes:

processname

string

opcional

Nombre del proceso que causa esta alerta

username

string

opcional

Dueño del proceso

rulename

string

opcional

Nombre de la regla de Enterprise Inspector que desencadena esta alerta

count

número

opcional

Cantidad de alertas de este tipo generadas desde la última alerta