События, экспортируемые в формат JSON

JSON — облегченный формат для обмена данными. Он построен на наборе пар «имя-значение» и упорядоченном списке значений.

Экспортируемые события

Этот раздел содержит сведения о формате и значение атрибутов всех экспортируемых событий. Сообщение о событии создается в виде объекта JSON с обязательными и необязательными ключами. Каждое экспортируемое событие будет содержать следующий ключ:

event_type

строка

 

Тип экспортируемых событий: Audit_Event; EnterpriseInspectorAlert_Event; BlockedFiles_Event; FilteredWebsites_Event; Threat_Event; FirewallAggregated_Event; HipsAggregated_Event.

ipv4

строка

необязательно

IPv4-адрес компьютера, создавшего событие.

ipv6

строка

необязательно

IPv6-адрес компьютера, создавшего событие.

source_uuid

строка

 

Идентификатор UUID компьютера, создавшего событие.

occurred

строка

 

Время события в формате UTC. Используется формат %d-%b-%Y %H:%M:%S.

severity

строка

 

Серьезность события. Возможные значения (от наименее до наиболее серьезных событий): «Информация», «Примечание», «Предупреждение», «Ошибка», «Критическая ошибка», «Неустранимая ошибка».

 

Настраиваемые ключи в соответствии с event_type:

1. ThreatEvent

Все события типа «обнаружение», которые создаются управляемыми конечными точками, будут перенаправлены в системный журнал. Ключи событий «обнаружение» перечислены в таблице ниже.

threat_type

строка

необязательно

Тип обнаружения

threat_name

строка

необязательно

Имя обнаружения

threat_flags

строка

необязательно

Флаги, связанные с обнаружением

scanner_id

строка

необязательно

Идентификатор модуля сканирования.

scan_id

строка

необязательно

Идентификатор сканирования.

engine_version

строка

необязательно

Версия модуля сканирования.

object_type

строка

необязательно

Тип объекта, связанного с этим событием.

object_uri

строка

необязательно

URI объекта

action_taken

строка

необязательно

Действие, которое выполнила конечная точка.

action_error

строка

необязательно

Сообщение об ошибке, если действие не удалось выполнить.

threat_handled

логическое значение

необязательно

Показывает, было ли обработано обнаружение.

need_restart

логическое значение

необязательно

Показывает, нужна ли перезагрузка.

username

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

processname

строка

необязательно

Имя процесса, связанного с событием.

circumstances

строка

необязательно

Краткое описание причины события.

hash

строка

необязательно

SHA1-хеш потока данных (обнаружения).

firstseen

строка

необязательно

Время и дата, когда обнаружение было выявлено впервые на этом компьютере. ESMC использует разные форматы даты и времени для атрибута firstseen (и любого другого атрибута даты и времени) в зависимости от формата вывода журнала (JSON или LEEF):

JSON формат: "%d-%b-%Y %H:%M:%S"

LEEF формат:"%b %d %Y %H:%M:%S"

2. FirewallAggregated_Event

Чтобы не перегружать полосу пропускания во время репликации агента ESET Management или ESMC Server, журналы событий, созданные персональным файерволом ESET, ведет управляющий агент ESET Management. Ключи событий файервола приведены в таблице ниже.

event

строка

необязательно

Имя события.

source_address

строка

необязательно

Адрес источника события.

source_address_type

строка

необязательно

Тип адреса источника события.

source_port

число

необязательно

Порт источника события.

target_address

строка

необязательно

Адрес цели события.

target_address_type

строка

необязательно

Тип адреса цели события.

target_port

число

необязательно

Порт цели события.

protocol

строка

необязательно

Протокол

account

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

process_name

строка

необязательно

Имя процесса, связанного с событием.

rule_name

строка

необязательно

Имя правила

rule_id

строка

необязательно

Идентификатор правила

inbound

логическое значение

необязательно

Показывает, является ли подключение входящим.

threat_name

строка

необязательно

Имя обнаружения.

aggregate_count

число

необязательно

Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между ESMC Server и управляющим агентом ESET Management.

3. HIPSAggregated_Event

События системы предотвращения вторжений на узел фильтруются по уровню серьезности перед отправкой в качестве сообщений системного журнала. В системный журнал отправляются только события с уровнями серьезности Ошибка, Критическая ошибка и Неустранимая ошибка. В таблице ниже перечислены атрибуты HIPS.

application

строка

необязательно

Имя приложения

operation

строка

необязательно

Операция

target

строка

необязательно

Объект

action

строка

необязательно

Действие

rule_name

строка

необязательно

Имя правила

rule_id

строка

необязательно

Идентификатор правила

aggregate_count

число

необязательно

Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между ESMC Server и управляющим агентом ESET Management.

4. Audit_Event

ESMC направляет сообщения журнала внутреннего аудита сервера в системный журнал. В таблице ниже перечислены атрибуты.

domain

строка

необязательно

Домен журнала аудита

action

строка

необязательно

Выполняемое действие

target

строка

необязательно

Объект целевого действия

detail

строка

необязательно

Подробное описание действия

user

строка

необязательно

Пользователь программы для обеспечения безопасности

result

строка

необязательно

Результат действия

5. EnterpriseInspectorAlert_Event

ESMC перенаправляет предупреждения ESET Enterprise Inspector в системный журнал. В таблице ниже перечислены атрибуты.

processname

строка

необязательно

Имя процесса, инициировавшего это предупреждение

username

строка

необязательно

Владелец процесса

rulename

строка

необязательно

Имя правила, инициировавшего это предупреждение

count

число

необязательно

Число уведомлений этого типа, созданных с момента последнего предупреждения

hash

строка

необязательно

Хеш SHA1 предупреждения

eiconsolelink

строка

необязательно

Ссылка на предупреждение в консоли ESET Enterprise Inspector

eialarmid

строка

необязательно

Подчасть идентификатора ссылки на предупреждение ($1 в ^http.*/alarm/([0-9]+)$)

6. BlockedFiles_Event

ESMC перенаправляет заблокированные файлы ESET Enterprise Inspector в системный журнал. В таблице ниже перечислены атрибуты.

hostname

строка

необязательно

Имя хоста компьютера с событием

processname

строка

необязательно

Имя процесса, связанного с событием.

username

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

resolved

логическое значение

необязательно

Указывает, был ли обработан заблокированный файл

hash

строка

необязательно

Хеш SHA1 заблокированного файла

object_uri

строка

необязательно

URI объекта

action

строка

необязательно

Действие выполнено

firstseen

строка

необязательно

Время и дата, когда обнаружение было впервые выявлено на этом компьютере (формат даты и времени).

cause

строка

необязательно

 

description

строка

необязательно

Описание заблокированного файла

7. FilteredWebsites_Event

ESMC перенаправляет отфильтрованные веб-сайты (обнаружения средством Защита доступа в Интернет) в системный журнал. В таблице ниже перечислены атрибуты.

hostname

строка

необязательно

Имя хоста компьютера с событием

processname

строка

необязательно

Имя процесса, связанного с событием.

username

строка

необязательно

Имя учетной записи пользователя, связанной с событием.

resolved

логическое значение

необязательно

Указывает, было ли обработано событие

hash

строка

необязательно

Хеш SHA1 отфильтрованного объекта

event

строка

необязательно

Тип события

rule_id

строка

необязательно

Идентификатор правила

action_taken

строка

необязательно

Действие выполнено

scanner_id

строка

необязательно

Идентификатор модуля сканирования.

object_uri

строка

необязательно

URI объекта

target_address

строка

необязательно

Адрес цели события.

target_address_type

строка

необязательно

Тип адреса цели события (25769803777 = IPv4; 25769803778 = IPv6)