Εξαγωγή συμβάντων σε μορφή JSON
Το JSON είναι μια ελαφριά μορφή ανταλλαγής δεδομένων. Βασίζεται στη συλλογή ζευγών ονομάτων/τιμών και σε μια ταξινομημένη λίστα τιμών.
Εξαχθέντα συμβάντα
Αυτή η ενότητα περιέχει λεπτομέρειες για τη μορφή και τη σημασία των χαρακτηριστικών όλων των εξαχθέντων συμβάντων. Το μήνυμα συμβάντος έχει τη μορφή αντικειμένου JSON με κάποια υποχρεωτικά και κάποια προαιρετικά κλειδιά. Καθένα από τα εξαχθέντα συμβάντα θα περιέχει το παρακάτω κλειδί:
event_type |
συμβολοσειρά |
|
Τύπος εξαχθέντων συμβάντων: •Threat_Event (Ανιχνεύσεις Antivirus) •FirewallAggregated_Event ( Ανιχνεύσεις από το Τείχος προστασίας) •HipsAggregated_Event ( Ανιχνεύσεις HIPS) •Audit_Event (Αρχείο καταγραφής ελέγχου) •FilteredWebsites_Event (Φιλτραρισμένοι ιστότοποι – Προστασία στο διαδίκτυο) •EnterpriseInspectorAlert_Event ( Συναγερμοί του ESET Inspect) |
---|---|---|---|
ipv4 |
συμβολοσειρά |
προαιρετικά |
Η διεύθυνση IPv4 του υπολογιστή στον οποίο δημιουργείται το συμβάν. |
ipv6 |
συμβολοσειρά |
προαιρετικά |
Η διεύθυνση IPv6 του υπολογιστή στον οποίο δημιουργείται το συμβάν. |
group_name |
συμβολοσειρά |
|
Η στατική ομάδα του υπολογιστή στον οποίο δημιουργήθηκε το συμβάν. |
source_uuid |
συμβολοσειρά |
|
Το αναγνωριστικό UUID του υπολογιστή στον οποίο δημιουργείται το συμβάν. |
occurred |
συμβολοσειρά |
|
Η ώρα UTC που παρουσιάστηκε το συμβάν. Η μορφή είναι %d-%b-%Y %H:%M:%S |
severity |
συμβολοσειρά |
|
Η κρισιμότητα του συμβάντος. Οι πιθανές τιμές (από τη λιγότερο στην περισσότερο κρίσιμη) είναι: Πληροφορία, Ειδοποίηση, Προειδοποίηση, Σφάλμα, Κρίσιμο, Ανεπανόρθωτο. |
Όλοι οι τύποι συμβάντων που αναφέρονται παρακάτω με όλα τα επίπεδα κρισιμότητας αναφέρονται στον διακομιστή Syslog. Για να φιλτράρετε τα αρχεία καταγραφής συμβάντων που αποστέλλονται στο Syslog, δημιουργήστε μια ειδοποίηση κατηγορίας καταγραφής με ένα καθορισμένο φίλτρο. Οι αναφερόμενες τιμές εξαρτώνται από το προϊόν ασφάλειας ESET (και την έκδοσή του) που είναι εγκατεστημένο στον διαχειριζόμενο υπολογιστή και το ESET PROTECT αναφέρει μόνο τα δεδομένα που έχουν παραληφθεί. Συνεπώς, η ESET δεν μπορεί να παράσχει εξαντλητική λίστα όλων των τιμών. Συνιστάται να παρακολουθείτε το δίκτυό σας και να φιλτράρετε τα αρχεία καταγραφής με βάση τις τιμές που παραλαμβάνετε. |
Προσαρμοσμένα κλειδιά σύμφωνα με την παράμετρο event_type:
Threat_Event
Όλα τα συμβάντα ανίχνευσης Antivirus που δημιουργούνται από διαχειριζόμενα τερματικά θα προωθούνται στο Syslog. Ειδικό κλειδί συμβάντος ανίχνευσης:
threat_type |
συμβολοσειρά |
προαιρετικά |
Τύπος ανίχνευσης |
---|---|---|---|
threat_name |
συμβολοσειρά |
προαιρετικά |
Όνομα ανίχνευσης |
threat_flags |
συμβολοσειρά |
προαιρετικά |
Σημάνσεις που σχετίζονται με την ανίχνευση |
scanner_id |
συμβολοσειρά |
προαιρετικό |
Αναγνωριστικό συσκευής σάρωσης |
scan_id |
συμβολοσειρά |
προαιρετικό |
Αναγνωριστικό σάρωσης |
engine_version |
συμβολοσειρά |
προαιρετικό |
Έκδοση του μηχανισμού σάρωσης |
object_type |
συμβολοσειρά |
προαιρετικό |
Ο τύπος του αντικειμένου που σχετίζεται με το συμβάν |
object_uri |
συμβολοσειρά |
προαιρετικό |
URI αντικειμένου |
action_taken |
συμβολοσειρά |
προαιρετικό |
Η ενέργεια που πραγματοποιήθηκε από το τερματικό |
action_error |
συμβολοσειρά |
προαιρετικά |
Μήνυμα σφάλματος εάν η «ενέργεια» δεν ήταν επιτυχής |
threat_handled |
δυαδική τιμή |
προαιρετικά |
Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση |
need_restart |
δυαδική τιμή |
προαιρετικό |
Δείχνει εάν απαιτείται επανεκκίνηση ή όχι |
username |
συμβολοσειρά |
προαιρετικό |
Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν |
processname |
συμβολοσειρά |
προαιρετικό |
Το όνομα της διεργασίας που σχετίζεται με το συμβάν |
circumstances |
συμβολοσειρά |
προαιρετικό |
Σύντομη περιγραφή της αιτίας του συμβάντος |
hash |
συμβολοσειρά |
προαιρετικά |
Κατακερματισμός SHA1 της ροής δεδομένων (της ανίχνευσης). |
συμβολοσειρά |
προαιρετικά |
Η ώρα και η ημερομηνία κατά την οποία εντοπίστηκε η ανίχνευση για πρώτη φορά στον συγκεκριμένο υπολογιστή. Το ESET PROTECT χρησιμοποιεί διαφορετικές μορφές ημερομηνίας-ώρας για το χαρακτηριστικό firstseen (και οποιοδήποτε άλλο χαρακτηριστικό ημερομηνίας-ώρας) ανάλογα με τη μορφή εξόδου του αρχείου καταγραφής (JSON ή LEEF): •JSON μορφή:"%d-%b-%Y %H:%M:%S" •LEEF μορφή:"%b %d %Y %H:%M:%S" |
Παράδειγμα αρχείου καταγραφής JSON Threat_Event:
FirewallAggregated_Event
Τα αρχεία καταγραφής συμβάντων που δημιουργούνται από το Τείχος προστασίας της ESET (ανιχνεύσεις από το Τείχος προστασίας) συγκεντρώνονται από τον φορέα ESET Management διαχείρισης για την αποφυγή της κατάχρησης εύρους ζώνης κατά την αναπαραγωγή ανάμεσα στον Φορέα ESET Management και ESET PROTECT. πρέπει . Το κλειδί του Firewall περιλαμβάνει τα εξής:
event |
συμβολοσειρά |
προαιρετικά |
Το όνομα του συμβάντος |
---|---|---|---|
source_address |
συμβολοσειρά |
προαιρετικά |
Η διεύθυνση της προέλευσης του συμβάντος |
source_address_type |
συμβολοσειρά |
προαιρετικά |
Ο τύπος διεύθυνσης της προέλευσης του συμβάντος |
source_port |
αριθμητική τιμή |
προαιρετικά |
Η θύρα της προέλευσης του συμβάντος |
target_address |
συμβολοσειρά |
προαιρετικά |
Η διεύθυνση του προορισμού του συμβάντος |
target_address_type |
συμβολοσειρά |
προαιρετικά |
Ο τύπος διεύθυνσης του προορισμού του συμβάντος |
target_port |
αριθμητική τιμή |
προαιρετικά |
Η θύρα του προορισμού του συμβάντος |
protocol |
συμβολοσειρά |
προαιρετικά |
Πρωτόκολλο |
account |
συμβολοσειρά |
προαιρετικό |
Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν |
process_name |
συμβολοσειρά |
προαιρετικό |
Το όνομα της διεργασίας που σχετίζεται με το συμβάν |
rule_name |
συμβολοσειρά |
προαιρετικά |
Όνομα κανόνα |
rule_id |
συμβολοσειρά |
προαιρετικά |
Αναγνωριστικό κανόνα |
inbound |
δυαδική τιμή |
προαιρετικά |
Δείχνει εάν η σύνδεση είναι εισερχόμενη ή όχι |
threat_name |
συμβολοσειρά |
προαιρετικά |
Όνομα ανίχνευσης |
aggregate_count |
αριθμητική τιμή |
προαιρετικά |
Δείχνει πόσα πανομοιότυπα μηνύματα δημιουργήθηκαν από το τερματικό μεταξύ δυο διαδοχικών αναπαραγωγών ανάμεσα στον διακομιστή ESET PROTECT και στον φορέα ESET Management |
action |
συμβολοσειρά |
προαιρετικά |
Η ενέργεια πραγματοποιήθηκε |
handled |
συμβολοσειρά |
προαιρετικά |
Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση |
Παράδειγμα αρχείου καταγραφής JSON FirewallAggregated_Event:
HIPSAggregated_Event
Τα συμβάντα από το HIPS (Host-based Intrusion Prevention System) (ανιχνεύσεις HIPS) φιλτράρονται κατά κρισιμότητα προτού σταλούν ως μηνύματα Syslog. Τα χαρακτηριστικά HIPS έχουν ως εξής:
application |
συμβολοσειρά |
προαιρετικά |
Όνομα εφαρμογής |
---|---|---|---|
operation |
συμβολοσειρά |
προαιρετικά |
Λειτουργία |
target |
συμβολοσειρά |
προαιρετικά |
Προορισμός |
action |
συμβολοσειρά |
προαιρετικά |
Η ενέργεια πραγματοποιήθηκε |
action_taken |
συμβολοσειρά |
προαιρετικό |
Η ενέργεια που πραγματοποιήθηκε από το τερματικό |
rule_name |
συμβολοσειρά |
προαιρετικά |
Όνομα κανόνα |
rule_id |
συμβολοσειρά |
προαιρετικά |
Αναγνωριστικό κανόνα |
aggregate_count |
αριθμητική τιμή |
προαιρετικά |
Δείχνει πόσα πανομοιότυπα μηνύματα δημιουργήθηκαν από το τερματικό μεταξύ δυο διαδοχικών αναπαραγωγών ανάμεσα στον διακομιστή ESET PROTECT και στον φορέα ESET Management |
handled |
συμβολοσειρά |
προαιρετικά |
Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση |
Παράδειγμα αρχείου καταγραφής JSON HipsAggregated_Event:
Audit_Event
Το ESET PROTECT προωθεί τα μηνύματα αρχείου καταγραφής εσωτερικού ελέγχου στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:
domain |
συμβολοσειρά |
προαιρετικά |
Τομέας αρχείου καταγραφής ελέγχου |
---|---|---|---|
action |
συμβολοσειρά |
προαιρετικά |
Ενέργεια που πραγματοποιείται |
target |
συμβολοσειρά |
προαιρετικά |
Η ενέργεια προορισμού λειτουργεί στη |
detail |
συμβολοσειρά |
προαιρετικά |
Λεπτομερής περιγραφή της ενέργειας |
user |
συμβολοσειρά |
προαιρετικά |
Εμπλεκόμενος χρήστης ασφάλειας |
result |
συμβολοσειρά |
προαιρετικά |
Αποτέλεσμα της ενέργειας |
Παράδειγμα αρχείου καταγραφής Audit_Event:
FilteredWebsites_Event
Το ESET PROTECT προωθεί τους φιλτραρισμένους ιστότοπους (Ανιχνεύσεις προστασίας στο διαδίκτυο) στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:
hostname |
συμβολοσειρά |
προαιρετικά |
Όνομα κεντρικού υπολογιστή με το συμβάν |
processname |
συμβολοσειρά |
προαιρετικό |
Το όνομα της διεργασίας που σχετίζεται με το συμβάν |
username |
συμβολοσειρά |
προαιρετικό |
Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν |
hash |
συμβολοσειρά |
προαιρετικά |
Κατακερματισμός SHA1 του φιλτραρισμένου αντικειμένου |
event |
συμβολοσειρά |
προαιρετικά |
Τύπος συμβάντος |
rule_id |
συμβολοσειρά |
προαιρετικά |
Αναγνωριστικό κανόνα |
action_taken |
συμβολοσειρά |
προαιρετικά |
Η ενέργεια πραγματοποιήθηκε |
scanner_id |
συμβολοσειρά |
προαιρετικό |
Αναγνωριστικό συσκευής σάρωσης |
object_uri |
συμβολοσειρά |
προαιρετικό |
URI αντικειμένου |
target_address |
συμβολοσειρά |
προαιρετικά |
Η διεύθυνση του προορισμού του συμβάντος |
target_address_type |
συμβολοσειρά |
προαιρετικά |
Ο τύπος διεύθυνσης του προορισμού του συμβάντος (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
συμβολοσειρά |
προαιρετικά |
Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση |
Παράδειγμα αρχείου καταγραφής JSON FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
Το ESET PROTECT προωθεί τους συναγερμούς ESET Inspect στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:
processname |
συμβολοσειρά |
προαιρετικά |
Όνομα της διεργασίας που προκαλεί αυτόν το συναγερμό |
---|---|---|---|
username |
συμβολοσειρά |
προαιρετικά |
Κάτοχος της διεργασίας |
rulename |
συμβολοσειρά |
προαιρετικά |
Όνομα του κανόνα που ενεργοποιεί αυτόν το συναγερμό |
count |
αριθμητική τιμή |
προαιρετικά |
Αριθμός συναγερμών αυτού του τύπου που δημιουργήθηκαν μετά τον τελευταίο συναγερμό |
hash |
συμβολοσειρά |
προαιρετικά |
Κατακερματισμός SHA1 του συναγερμού |
eiconsolelink |
συμβολοσειρά |
προαιρετικά |
Σύνδεση με το συναγερμό στην κονσόλα ESET Inspect |
eialarmid |
συμβολοσειρά |
προαιρετικά |
Υποτμήμα ταυτότητας της σύνδεσης συναγερμού ($1 στο ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
αριθμητική τιμή |
προαιρετικά |
Βαθμολογία κρισιμότητας υπολογιστή |
severity_score |
αριθμητική τιμή |
προαιρετικά |
Βαθμολογία κρισιμότητας κανόνα |
Παράδειγμα αρχείου καταγραφής JSON EnterpriseInspectorAlert_Event:
BlockedFiles_Event
Το ESET PROTECT προωθεί αποκλεισμένα αρχεία ESET Inspect στο Syslog. Τα ειδικά χαρακτηριστικά έχουν ως εξής:
hostname |
συμβολοσειρά |
προαιρετικά |
Όνομα κεντρικού υπολογιστή με το συμβάν |
processname |
συμβολοσειρά |
προαιρετικό |
Το όνομα της διεργασίας που σχετίζεται με το συμβάν |
username |
συμβολοσειρά |
προαιρετικό |
Το όνομα του λογαριασμού χρήστη που σχετίζεται με το συμβάν |
hash |
συμβολοσειρά |
προαιρετικά |
Κατακερματισμός SHA1 του αποκλεισμένου αρχείου |
object_uri |
συμβολοσειρά |
προαιρετικό |
URI αντικειμένου |
action |
συμβολοσειρά |
προαιρετικά |
Η ενέργεια πραγματοποιήθηκε |
firstseen |
συμβολοσειρά |
προαιρετικά |
Ώρα και ημερομηνία κατά την οποία βρέθηκε η ανίχνευση για πρώτη φορά σε αυτόν τον υπολογιστή (μορφή ημερομηνίας και ώρας). |
cause |
συμβολοσειρά |
προαιρετικά |
|
description |
συμβολοσειρά |
προαιρετικά |
Περιγραφή του αποκλεισμένου αρχείου |
handled |
συμβολοσειρά |
προαιρετικά |
Υποδεικνύει εάν αντιμετωπίστηκε η ανίχνευση |