Udalosti exportované vo formáte JSON

JSON je jednoduchý formát pre výmenu dát. Je založený na dvoch dátových štruktúrach: kolekcia párov názov-hodnota a zoradený zoznam hodnôt.

Exportované udalosti

Táto sekcia obsahuje podrobnosti o formáte a význame atribútov všetkých exportovaných udalostí. Správa o udalosti má podobu objektu JSON vrátane niektorých povinných a voliteľných kľúčov (atribútov). Každá exportovaná udalosť bude obsahovať nasledujúci kľúč:

event_type

reťazec

 

Typ exportovanej udalosti: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event, Audit_Event, EnterpriseInspectorAlert_Event, BlockedFiles_Event, FilteredWebsites_Event.

ipv4

reťazec

voliteľné

IPv4 adresa počítača, ktorý generoval udalosť.

ipv6

reťazec

voliteľné

IPv6 adresa počítača, ktorý generoval udalosť.

source_uuid

reťazec

 

UUID počítača, ktorý generoval udalosť.

occurred

reťazec

 

Čas vo formáte UTC, kedy udalosť vznikla. Formát: %d-%b-%Y %H:%M:%S

severity

reťazec

 

Závažnosť udalosti. Možné hodnoty (od najmenej závažnej po najviac závažnú) sú: Informácie, Upozornenie, Varovanie, Chyba, Kritický, Závažný

 

Vlastné kľúče (atribúty) podľa event_type:

1. ThreatEvent

Všetky záznamy o zachytených detekciách sú spravované koncovými bezpečnostnými produktmi a odosielané na Syslog. Záznam o detekcii vyzerá nasledovne:

threat_type

reťazec

voliteľné

Typ detekcie

threat_name

reťazec

voliteľné

Názov detekcie

threat_flags

reťazec

voliteľné

Príznaky súvisiace s detekciou

scanner_id

reťazec

voliteľné

ID skenera

scan_id

reťazec

voliteľné

ID kontroly

engine_version

reťazec

voliteľné

Verzia skenovacieho jadra

object_type

reťazec

voliteľné

Typ objektu týkajúci sa tejto udalosti

object_uri

reťazec

voliteľné

URL objektu

action_taken

reťazec

voliteľné

Akcia vykonaná koncovým produktom

action_error

reťazec

voliteľné

Chybové hlásenie v prípade, že „akcia“ nebola úspešná

threat_handled

bool

voliteľné

Udáva, či detekcia bola alebo nebola vyriešená

need_restart

bool

voliteľné

Informácia o tom, či je potrebný reštart

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

circumstances

reťazec

voliteľné

Krátka informácia o tom, čo spôsobilo danú udalosť

hash

reťazec

voliteľné

SHA1 hash (detekcie) dátového toku.

firstseen

reťazec

voliteľné

Čas a dátum, kedy bola detekcia po prvýkrát zistená na zariadení. ESMC používa rozdielne formáty času a dátumu pre atribút firstseen (a každý iný atribút času a dátumu) v závislosti od výstupného formátu (JSON alebo LEEF):

JSON formát: "%d-%b-%Y %H:%M:%S"

LEEF formát: "%b %d %Y %H:%M:%S"

2. FirewallAggregated_Event

Protokoly udalostí generované firewallom ESET agreguje riadiaci ESET Management Agent na účely zníženia množstva dát prenášaných počas replikácie ESET Management Agenta/ESMC Servera. Záznam o udalostiach firewallu vyzerá nasledovne:

event

reťazec

voliteľné

Názov udalosti

source_address

reťazec

voliteľné

Adresa zdroja udalosti

source_address_type

reťazec

voliteľné

Typ adresy zdroja udalosti

source_port

číslo

voliteľné

Port zdroja udalosti

target_address

reťazec

voliteľné

Adresa cieľa udalosti

target_address_type

reťazec

voliteľné

Typ adresy cieľa udalosti

target_port

číslo

voliteľné

Port cieľa udalosti

protocol

reťazec

voliteľné

Protokol

account

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

process_name

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

rule_name

reťazec

voliteľné

Názov pravidla

rule_id

reťazec

voliteľné

ID pravidla

inbound

bool

voliteľné

Informácia, či išlo o prichádzajúce pripojenie

threat_name

reťazec

voliteľné

Názov detekcie

aggregate_count

číslo

voliteľné

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ESMC Agenta na ESET Management Server

3. HIPSAggregated_Event

Udalosti z modulu HIPS (Host-based Intrusion Prevention System) sú filtrované na základe závažnosti pred tým, ako sú ďalej odosielané v podobe Syslog správ. Na Syslog sú odosielané len udalosti s úrovňou závažnosti Chyba, Kritický a Závažný. Záznam o udalostiach modulu HIPS vyzerá nasledovne:

application

reťazec

voliteľné

Názov aplikácie

operation

reťazec

voliteľné

Operácia

target

reťazec

voliteľné

Cieľ

action

reťazec

voliteľné

Akcia

rule_name

reťazec

voliteľné

Názov pravidla

rule_id

reťazec

voliteľné

ID pravidla

aggregate_count

číslo

voliteľné

Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ESMC Agenta na ESET Management Server

4. Audit_Event

ESMC preposiela do Syslogu správy z interného protokolu auditu servera. Záznam o udalostiach vyzerá nasledovne:

domain

reťazec

voliteľné

Doména protokolu auditu

action

reťazec

voliteľné

Vykonávaná akcia

target

reťazec

voliteľné

Cieľ, na ktorom je akcia vykonávaná

detail

reťazec

voliteľné

Podrobný popis akcie

user

reťazec

voliteľné

Užívateľ vykonávajúci akciu

result

reťazec

voliteľné

Výsledok akcie

5. EnterpriseInspectorAlert_Event

ESMC preposiela upozornenia nahlásené nástrojom ESET Enterprise Inspector do Syslogu. Záznam o udalostiach vyzerá nasledovne:

processname

reťazec

voliteľné

Názov procesu, ktorý spôsobil upozornenie

username

reťazec

voliteľné

Vlastník procesu

rulename

reťazec

voliteľné

Názov pravidla, ktoré spustilo upozornenie

count

číslo

voliteľné

Počet upozornení tohto typu vygenerovaných od posledného upozornenia

hash

reťazec

voliteľné

SHA1 hash upozornenia

eiconsolelink

reťazec

voliteľné

Odkaz na upozornenie v konzole ESET Enterprise Inspector

eialarmid

reťazec

voliteľné

Podčasť ID odkazu na upozornenie ($1 v ^http.*/alarm/([0-9]+)$)

6. BlockedFiles_Event

ESMC preposiela blokované súbory nahlásené nástrojom ESET Enterprise Inspector do syslogu. Záznam o udalostiach vyzerá nasledovne:

hostname

reťazec

voliteľné

Názov hostiteľa počítača s udalosťou

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

resolved

bool

voliteľné

Udáva, či blokovaný súbor bol alebo nebol vyriešený

hash

reťazec

voliteľné

SHA1 hash blokovaného súboru

object_uri

reťazec

voliteľné

URL objektu

action

reťazec

voliteľné

Vykonaná akcia

firstseen

reťazec

voliteľné

Čas a dátum, kedy bola detekcia prvýkrát nájdená na danom počítači (formát dátumu a času).

cause

reťazec

voliteľné

 

description

reťazec

voliteľné

Popis blokovaného súboru

7. FilteredWebsites_Event

ESMC preposiela filtrované webové stránky (detekcie Webovej ochrany) do Syslogu. Záznam o udalostiach vyzerá nasledovne:

hostname

reťazec

voliteľné

Názov hostiteľa počítača s udalosťou

processname

reťazec

voliteľné

Názov procesu spojeného s touto udalosťou

username

reťazec

voliteľné

Názov používateľského účtu spojeného s touto udalosťou

resolved

bool

voliteľné

Udáva, či udalosť bola alebo nebola vyriešená

hash

reťazec

voliteľné

SHA1 hash filtrovaného objektu

event

reťazec

voliteľné

Typ udalosti

rule_id

reťazec

voliteľné

ID pravidla

action_taken

reťazec

voliteľné

Vykonaná akcia

scanner_id

reťazec

voliteľné

ID skenera

object_uri

reťazec

voliteľné

URL objektu

target_address

reťazec

voliteľné

Adresa cieľa udalosti

target_address_type

reťazec

voliteľné

Typ adresy cieľa udalosti (25769803777 = IPv4; 25769803778 = IPv6)