Export von Ereignissen im JSON-Format

JSON ist ein schlankes Format für den Austausch von Daten. Dieses Format verwendet eine Sammlung von Name-Wert-Paaren und eine geordnete Liste von Werten.

Exportierte Ereignisse

Dieser Abschnitt enthält Details zu Format und Bedeutung der Attribute aller exportierten Ereignisse. Die Ereignisnachricht wird als JSON-Objekt mit Pflicht- und optionalen Schlüsseln formatiert. Jedes exportierte Ereignis enthält den folgenden Schlüssel:

event_type

string

 

Typ der exportierten Ereignisse: Threat_Event; FirewallAggregated_Event; HipsAggregated_Event; Audit_Event; EnterpriseInspectorAlert_Event; BlockedFiles_Event; FilteredWebsites_Event.

ipv4

string

optional

IPv4-Adresse des Computers, der das Ereignis generiert hat.

ipv6

string

optional

IPv6-Adresse des Computers, der das Ereignis generiert hat.

source_uuid

string

 

UUID des Computers, der das Ereignis generiert hat.

occurred

string

 

UTC-Zeitpunkt, zu dem das Ereignis aufgetreten ist. Format: %d-%b-%Y %H:%M:%S

severity

string

 

Schweregrad des Ereignisses. Mögliche Werte (vom niedrigsten zum höchsten Schweregrad): Information Notice Warning Error Critical Fatal

 

Benutzerdefinierte Schlüssel gemäß event_type:

1. ThreatEvent

Alle von verwalteten Endpunkten generierten Ereignisse werden an Syslog weitergeleitet. Spezifische Schlüssel für Ereignisse:

threat_type

string

optional

Ereignisart

threat_name

string

optional

Ereignisname

threat_flags

string

optional

Ereignisbezogene Flags

scanner_id

string

optional

Scanner-ID

scan_id

string

optional

Scan-ID

engine_version

string

optional

Version des Prüfmoduls

object_type

string

optional

Art des Objekts, auf sich das Ereignis bezieht

object_uri

string

optional

Objekt-URI

action_taken

string

optional

Auf dem Endpunkt ausgeführte Aktion

action_error

string

optional

Fehlermeldung, falls die Aktion nicht erfolgreich war

threat_handled

bool

optional

Gibt an, ob das Ereignis verarbeitet wurde

need_restart

bool

optional

Gibt an, ob ein Neustart erforderlich ist

username

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

processname

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

circumstances

string

optional

Kurze Beschreibung der Ursache des Ereignisses

hash

string

optional

SHA1-Hash des Datenstroms (Ereignis).

firstseen

string

optional

Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer. Das von ESMC verwendete Datums- und Zeitformat für das firstseen-Attribut (und andere Datums- und Uhrzeitattribute) hängt vom Log-Ausgabeformat ab (JSON oder LEEF):

JSON formatieren "%d-%b-%Y %H:%M:%S"

LEEF formatieren"%b %d %Y %H:%M:%S"

2. FirewallAggregated_Event

Die von ESET Personal Firewall generierten Ereignis-Logs werden von dem verwaltenden ESET Management Agenten aggregiert, um die benötigte Bandbreite für die Replikation zwischen ESET Management Agent und ESMC Server zu reduzieren. Spezifische Schlüssel für Firewall-Ereignisse:

event

string

optional

Ereignisname

source_address

string

optional

Adresse der Ereignisquelle

source_address_type

string

optional

Art der Adresse der Ereignisquelle

source_port

Nummer

optional

Port der Ereignisquelle

target_address

string

optional

Adresse des Ereignisziels

target_address_type

string

optional

Art der Adresse des Ereignisziels

target_port

Nummer

optional

Port des Ereignisziels

protocol

string

optional

Protokoll

account

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

process_name

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

rule_name

string

optional

Regelname

rule_id

string

optional

Regel-ID

inbound

bool

optional

Gibt an, ob die Verbindung eingehend war

threat_name

string

optional

Ereignisname

aggregate_count

Nummer

optional

Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESMC Server und verwaltendem ESET Management Agent generiert wurden

3. HIPSAggregated_Event

Ereignisse aus dem Host-based Intrusion Prevention System werden zunächst nach Schweregrad gefiltert und anschließend als Syslog-Nachrichten weitergeleitet. Nur Ereignisse der Schweregrade Error, Critical und Fatal werden an Syslog weitergeleitet. HIPS-spezifische Attribute:

application

string

optional

Anwendungsname

operation

string

optional

Vorgang

target

string

optional

Ziel

action

string

optional

Aktion

rule_name

string

optional

Regelname

rule_id

string

optional

Regel-ID

aggregate_count

Nummer

optional

Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESMC Server und verwaltendem ESET Management Agent generiert wurden

4. Audit_Event

ESMC leitet die internen Audit-Log-Nachrichten des Servers an Syslog weiter. Spezifische Attribute:

domain

string

optional

Audit-Log-Domäne

action

string

optional

Ausgeführte Aktion

target

string

optional

Ziel der Aktion

detail

string

optional

Ausführliche Beschreibung der Aktion

user

string

optional

Beteiligter Sicherheitsbenutzer

result

string

optional

Resultat der Aktion

5. EnterpriseInspectorAlert_Event

ESMC leitet ESET Enterprise Inspector-Alarmmeldungen an Syslog weiter. Spezifische Attribute:

processname

string

optional

Name des Prozesses, der den Alarm ausgelöst hat

username

string

optional

Eigentümer des Prozesses

rulename

string

optional

Name der Regel, die den Alarm ausgelöst hat

count

Nummer

optional

Anzahl der Alarmmeldungen von diesem Typ seit dem letzten Alarm

hash

string

optional

SHA1-Hash des Alarms

eiconsolelink

string

optional

Link zum Alarm in der ESET Enterprise Inspector-Konsole

eialarmid

string

optional

ID-Komponente des Alarmlinks ($1 in ^http.*/alarm/([0-9]+)$)

6. BlockedFiles_Event

ESMC leitet von ESET Enterprise Inspector blockierte Dateien an Syslog weiter. Spezifische Attribute:

hostname

string

optional

Hostname des Computers mit dem Ereignis

processname

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

username

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

resolved

bool

optional

Zeigt an, ob die blockierte Datei bearbeitet wurde

hash

string

optional

SHA1-Hash der blockierten Datei

object_uri

string

optional

Objekt-URI

action

string

optional

Ausgeführte Aktion

firstseen

string

optional

Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer (Datums- und Uhrzeitformat).

cause

string

optional

 

description

string

optional

Beschreibung der blockierten Datei

7. FilteredWebsites_Event

ESMC leitet die gefilterten Websites (Web-Schutz-Ereignisse) an Syslog weiter. Spezifische Attribute:

hostname

string

optional

Hostname des Computers mit dem Ereignis

processname

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

username

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

resolved

bool

optional

Gibt an, ob das Ereignis verarbeitet wurde

hash

string

optional

SHA1-Hash des gefilterten Objekts

event

string

optional

Ereignistyp

rule_id

string

optional

Regel-ID

action_taken

string

optional

Ausgeführte Aktion

scanner_id

string

optional

Scanner-ID

object_uri

string

optional

Objekt-URI

target_address

string

optional

Adresse des Ereignisziels

target_address_type

string

optional

Art der Adresse des Ereignisziels (25769803777 = IPv4; 25769803778 = IPv6)