Aide en ligne ESET

Rechercher Français
Sélectionner la catégorie
Sélectionner la rubrique

Événements exportés au format JSON

JSON est un format léger pour l'échange de données. Il repose sur un groupe de paires nom/valeur et une liste classée de valeurs.

Événements exportés

Cette section contient des détails sur le format et la signification des attributs de tous les événements exportés. Le message d'événement prend la forme d'un objet JSON avec quelques clés obligatoires et facultatives. Chaque événement exporté contiendra la clé suivante :

event_type

string

 

Type d'événements exportés :

Threat_Event (icon_antivirus détections virales)

FirewallAggregated_Event (icon_firewall détections du pare-feu)

HipsAggregated_Event (icon_hips détections HIPS)

Audit_Event (journal de vérification)

FilteredWebsites_Event (sites web filtrés :icon_web_protection protection Web)

EnterpriseInspectorAlert_Event (icon_ei_alert alertes ESET Inspect)

BlockedFiles_Event (icon_blocked fichiers bloqués)

ipv4

string

facultatif

Adresse IPv4 de l'ordinateur générant l'événement.

ipv6

string

facultatif

Adresse IPv6 de l'ordinateur générant l'événement.

group_name

string

 

Groupe statique de l'ordinateur générant l’événement.

source_uuid

string

 

UUID de l'ordinateur générant l'événement.

occurred

string

 

Heure UTC d'occurrence de l'événement. Le format est %d-%b-%Y %H:%M:%S

severity

string

 

Gravité de l'événement. Les valeurs possibles (de la moins grave à la plus grave) sont les suivantes : Information, Remarque, Avertissement, Erreur, Critique, Fatal.


note

Tous les types d’événements répertoriés ci-dessous avec tous les niveaux de gravité sont signalés au serveur Syslog. Pour filtrer les logs d'évènement envoyés à Syslog, créez une notification de catégorie de journaux avec un filtre défini.

Les valeurs signalées dépendent du produit de sécurité ESET (et de sa version) installé sur l’ordinateur administré. ESET PROTECT ne signalement que les données reçues. Pour cette raison, ESET ne peut pas fournir une liste exhaustive de toutes les valeurs. Il est recommandé de surveiller votre réseau et de filtrer les journaux selon les valeurs que vous recevez.

Clés personnalisées selon event_type :

Threat_Event

Tous les événements de détection icon_antivirusvirale générés par des endpoints gérés seront transférés à Syslog. Clé spécifique à un événement de détection :

threat_type

string

facultatif

Type de détection

threat_name

string

facultatif

Nom de la détection

threat_flags

string

facultatif

Indicateurs liés à des détections

scanner_id

string

facultatif

ID d'analyseur

scan_id

string

facultatif

ID d'analyse

engine_version

string

facultatif

Version du moteur d'analyse

object_type

string

facultatif

Type d'objet lié à cet événement

object_uri

string

facultatif

URI de l'objet

action_taken

string

facultatif

Action prise par le point de terminaison

action_error

string

facultatif

Message d’erreur si « l’action » n’a pas réussi

threat_handled

bool

facultatif

Indique si la détection a été gérée ou non

need_restart

bool

facultatif

Indique si un redémarrage est nécessaire ou non

username

string

facultatif

Nom du compte utilisateur associé à l'événement

processname

string

facultatif

Nom du processus associé à l'événement

circumstances

string

facultatif

Brève description de la cause de l'événement

hash

string

facultatif

Hachage SHA1 du flux de données (détection).

firstseen

string

facultatif

Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine. ESET PROTECT utilise des formats date-heure différents pour l'attribut firstseen (et tout autre attribut date-heure) selon le format de sortie du journal (JSON ou LEEF) :

JSON format: "%d-%b-%Y %H:%M:%S"

LEEF format: "%b %d %Y %H:%M:%S"

arrow_down_business Threat_Event exemple de journal JSON :

FirewallAggregated_Event

Les logs d'évènement générés par le pare-feu d'ESET (icon_firewall détections du pare-feu) sont agrégés par le gestionnaire ESET Management Agent pour éviter le gaspillage de bande passante pendant la réplication d'ESET Management Agent/ESET PROTECT. Serveur . Clé spécifique à un événement de pare-feu :

event

string

facultatif

Nom de l'événement

source_address

string

facultatif

Adresse de la source de l'événement

source_address_type

string

facultatif

Type d'adresse de la source de l'événement

source_port

number

facultatif

Port de la source de l'événement

target_address

string

facultatif

Adresse de la destination de l'événement

target_address_type

string

facultatif

Type d'adresse de la destination de l'événement

target_port

number

facultatif

Port de la destination de l'événement

protocol

string

facultatif

Protocole

account

string

facultatif

Nom du compte utilisateur associé à l'événement

process_name

string

facultatif

Nom du processus associé à l'événement

rule_name

string

facultatif

Nom de la règle

rule_id

string

facultatif

ID de règle

inbound

bool

facultatif

Indique si la connexion était entrante ou non

threat_name

string

facultatif

Nom de la détection

aggregate_count

number

facultatif

Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre ESET PROTECT. Serveur et la gestion d'ESET Management Agent

action

string

facultatif

Action entreprise

handled

string

facultatif

Indique si la détection a été gérée ou non

arrow_down_business FirewallAggregated_Event exemple de journal JSON :

HIPSAggregated_Event

Les événements du système HIPS (icon_hips détections HIPS) sont filtrés sur la gravité avant d'être transmis plus avant en tant que messages Syslog. Les attributs spécifiques à HIPS sont les suivants :

application

string

facultatif

Nom de l'application

operation

string

facultatif

Opération

target

string

facultatif

Cible

action

string

facultatif

Action entreprise

action_taken

string

facultatif

Action prise par le point de terminaison

rule_name

string

facultatif

Nom de la règle

rule_id

string

facultatif

ID de règle

aggregate_count

number

facultatif

Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre ESET PROTECT. Serveur et la gestion d'ESET Management Agent

handled

string

facultatif

Indique si la détection a été gérée ou non

arrow_down_business HipsAggregated_Event exemple de journal JSON :

Audit_Event

ESET PROTECT transfère les messages du journal de vérification interne à Syslog. Les attributs spécifiques sont les suivants :

domain

string

facultatif

Domaine du journal d'audit

action

string

facultatif

Action exécutée

target

string

facultatif

L'action cible est effectuée sur

detail

string

facultatif

Description détaillée de l'action

user

string

facultatif

Utilisateur de sécurité impliqué

result

string

facultatif

Résultat de l'action

arrow_down_business Exemple de journal Audit_Event log :

FilteredWebsites_Event

ESET PROTECT transfère les sites Web filtrés (détections de la icon_web_protectionprotection Web) vers Syslog. Les attributs spécifiques sont les suivants :

hostname

string

facultatif

Nom d’hôte de l’ordinateur avec l’événement

processname

string

facultatif

Nom du processus associé à l'événement

username

string

facultatif

Nom du compte utilisateur associé à l'événement

hash

string

facultatif

Hachage de l'objet filtré SHA1

event

string

facultatif

Type d'événement

rule_id

string

facultatif

ID de règle

action_taken

string

facultatif

Action entreprise

scanner_id

string

facultatif

ID d'analyseur

object_uri

string

facultatif

URI de l'objet

target_address

string

facultatif

Adresse de la destination de l'événement

target_address_type

string

facultatif

Type d'adresse de la destination de l'événement (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

facultatif

Indique si la détection a été gérée ou non

arrow_down_business FilteredWebsites_Event exemple de journal JSON :

EnterpriseInspectorAlert_Event

ESET PROTECT transfère les alarmes ESET Inspect à Syslog. Les attributs spécifiques sont les suivants :

processname

string

facultatif

Nom du processus entraînant cette alarme

username

string

facultatif

Détenteur du processus

rulename

string

facultatif

Nom de la règle déclenchant cette alarme

count

number

facultatif

Nombre d'alertes de ce type générées depuis la dernière alarme

hash

string

facultatif

Hachage de l'alarme SHA1

eiconsolelink

string

facultatif

Lien vers l'alarme dans la console ESET Inspect

eialarmid

string

facultatif

Sous-partie de l'ID du lien de l'alarme ($1 dans ^http.*/alarm/([0-9]+)$)

computer_severity_score

number

facultatif

Score de gravité de l’ordinateur

severity_score

number

facultatif

Score de gravité de la règle

arrow_down_business EnterpriseInspectorAlert_Event exemple de journal JSON :

BlockedFiles_Event

ESET PROTECT transfère les fichiers bloqués ESET Inspecticon_blocked vers Syslog. Les attributs spécifiques sont les suivants :

hostname

string

facultatif

Nom d’hôte de l’ordinateur avec l’événement

processname

string

facultatif

Nom du processus associé à l'événement

username

string

facultatif

Nom du compte utilisateur associé à l'événement

hash

string

facultatif

Hachage du fichier bloqué SHA1

object_uri

string

facultatif

URI de l'objet

action

string

facultatif

Action entreprise

firstseen

string

facultatif

Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine (format de date et heure).

cause

string

facultatif

 

description

string

facultatif

Description du fichier bloqué

handled

string

facultatif

Indique si la détection a été gérée ou non