JSON 형식으로 내보낸 이벤트
JSON은 데이터 교환을 위한 경량 형식으로, 순서가 지정된 값 목록과 이름/값 쌍 모음을 바탕으로 작성됩니다.
내보낸 이벤트
이 섹션에는 내보낸 모든 이벤트 특성의 형식 및 의미에 대한 자세한 정보가 포함되어 있습니다. 이벤트 메시지는 몇 가지 필수 및 옵션 키를 사용한 JSON 개체 형식으로 되어 있습니다. 내보낸 각각의 이벤트에 다음 키가 포함됩니다.
event_type |
string |
|
다음과 같은 내보낸 이벤트 유형: •Threat_Event(안티바이러스 탐지) •FirewallAggregated_Event(방화벽 탐지) •HipsAggregated_Event(HIPS 탐지) •FilteredWebsites_Event(필터링된 웹 사이트 - 웹 보호) |
---|---|---|---|
ipv4 |
string |
옵션 |
이벤트를 생성하는 컴퓨터의 IPv4 주소 |
ipv6 |
string |
옵션 |
이벤트를 생성하는 컴퓨터의 IPv6 주소 |
group_name |
string |
|
이벤트를 생성하는 컴퓨터의 정적 그룹입니다. |
source_uuid |
string |
|
이벤트를 생성하는 컴퓨터의 UUID |
occurred |
string |
|
이벤트가 발생한 UTC 시간. 형식: %d-%b-%Y %H:%M:%S |
severity |
string |
|
이벤트 심각도. 가능한 값(최소 심각도부터 최고 심각도까지): 정보, 알림, 경고, 오류, 위험, 심각. |
모든 심각도 수준을 포함하여 아래에 나열된 모든 이벤트 유형이 Syslog 서버에 보고됩니다. Syslog로 전송된 이벤트 로그를 필터링하려면 필터가 정의된 로그 범주 알림을 생성합니다. 보고된 값은 관리되는 컴퓨터에 설치된 ESET 보안 제품(및 해당 버전)에 따라 다르며, ESET PROTECT에서 수신된 데이터만 보고합니다. 따라서 ESET이 모든 값의 전체 목록을 제공할 수는 없습니다. 네트워크를 감시하고 수신한 값을 기준으로 로그를 필터링하는 것이 좋습니다. |
event_type에 따른 사용자 지정 키
Threat_Event
관리되는 엔드포인트에 의해 생성된 모든 안티바이러스 탐지 이벤트는 Syslog로 전달됩니다. 탐지 이벤트 관련 키:
threat_type |
string |
옵션 |
탐지 유형 |
---|---|---|---|
threat_name |
string |
옵션 |
탐지 이름 |
threat_flags |
string |
옵션 |
탐지 관련 플래그 |
scanner_id |
string |
옵션 |
검사기 ID |
scan_id |
string |
옵션 |
검사 ID |
engine_version |
string |
옵션 |
검사 엔진 버전 |
object_type |
string |
옵션 |
이 이벤트와 관련된 개체의 유형 |
object_uri |
string |
옵션 |
오브젝트 URI |
action_taken |
string |
옵션 |
끝점에서 수행된 동작 |
action_error |
string |
옵션 |
"동작"이 실패한 경우 오류 메시지 |
threat_handled |
부울 |
옵션 |
탐지가 처리되었는지 여부를 나타냄 |
need_restart |
부울 |
옵션 |
다시 시작해야 하는지 여부 |
username |
string |
옵션 |
이벤트와 연결된 사용자 계정의 이름 |
processname |
string |
옵션 |
이벤트와 연결된 프로세스의 이름 |
circumstances |
string |
옵션 |
이벤트 원인에 대한 간략한 설명 |
hash |
string |
옵션 |
(탐지) 데이터 스트림의 SHA1 해시입니다. |
string |
옵션 |
해당 컴퓨터에서 탐지가 처음으로 발견된 날짜와 시간입니다. ESET PROTECT에서는 로그 출력 형식(JSON 또는 LEEF)에 따라 firstseen 특성(및 기타 날짜-시간 특성)에 대해 다른 날짜-시간 형식을 사용합니다. •JSON 형식:"%d-%b-%Y %H:%M:%S" •LEEF 형식:"%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
ESET 방화벽에서 생성된 이벤트 로그( 방화벽 탐지)는 관리 ESET Management Agent에 의해 집계됩니다. 이는 ESET Management Agent/ESET PROTECT 서버 복제 중에 대역폭을 낭비하지 않도록 하기 위함입니다. 방화벽 이벤트 관련 키는 다음과 같습니다.
event |
string |
옵션 |
이벤트 이름 |
---|---|---|---|
source_address |
string |
옵션 |
이벤트 소스의 주소 |
source_address_type |
string |
옵션 |
이벤트 소스의 주소 유형 |
source_port |
숫자 |
옵션 |
이벤트 소스의 포트 |
target_address |
string |
옵션 |
이벤트 대상의 주소 |
target_address_type |
string |
옵션 |
이벤트 대상의 주소 유형 |
target_port |
숫자 |
옵션 |
이벤트 대상의 포트 |
protocol |
string |
옵션 |
프로토콜 |
account |
string |
옵션 |
이벤트와 연결된 사용자 계정의 이름 |
process_name |
string |
옵션 |
이벤트와 연결된 프로세스의 이름 |
rule_name |
string |
옵션 |
규칙 이름 |
rule_id |
string |
옵션 |
규칙 ID |
inbound |
부울 |
옵션 |
연결이 들어왔는지 여부 |
threat_name |
string |
옵션 |
탐지 이름 |
aggregate_count |
숫자 |
옵션 |
ESET PROTECT 서버 와 관리 ESET Management Agent 간의 연속 2개의 복제 사이에 있는 엔드포인트에서 생성된 정확히 동일한 메시지 수 |
action |
string |
옵션 |
수행된 동작 |
handled |
string |
옵션 |
탐지가 처리되었는지 여부를 나타냄 |
FirewallAggregated_Event JSON 로그 예제:
HIPSAggregated_Event
호스트 기반 침입 방지 시스템의 이벤트( HIPS 탐지)는 Syslog 메시지로 보내지기 전에 심각도를 기준으로 필터링됩니다. HIPS 관련 특성은 다음과 같습니다.
application |
string |
옵션 |
응용 프로그램 이름 |
---|---|---|---|
operation |
string |
옵션 |
작업 |
target |
string |
옵션 |
대상 |
action |
string |
옵션 |
수행된 동작 |
action_taken |
string |
옵션 |
끝점에서 수행된 동작 |
rule_name |
string |
옵션 |
규칙 이름 |
rule_id |
string |
옵션 |
규칙 ID |
aggregate_count |
숫자 |
옵션 |
ESET PROTECT 서버 와 관리 ESET Management Agent 간의 연속 2개의 복제 사이에 있는 엔드포인트에서 생성된 정확히 동일한 메시지 수 |
handled |
string |
옵션 |
탐지가 처리되었는지 여부를 나타냄 |
HipsAggregated_Event JSON 로그 예제:
Audit_Event
ESET PROTECT은(는) 내부 감사 로그 메시지를 Syslog에 전달합니다. 구체적인 특성은 다음과 같습니다.
domain |
string |
옵션 |
감사 로그 도메인 |
---|---|---|---|
action |
string |
옵션 |
발생한 동작 |
target |
string |
옵션 |
작동 중인 대상 동작 |
detail |
string |
옵션 |
동작에 대한 자세한 설명 |
user |
string |
옵션 |
관련된 보안 사용자 |
result |
string |
옵션 |
동작의 결과 |
FilteredWebsites_Event
ESET PROTECT에서 Syslog로 필터링된 웹 사이트(Web Protection 탐지)를 전달합니다. 구체적인 특성은 다음과 같습니다.
hostname |
string |
옵션 |
이벤트가 있는 컴퓨터의 호스트 이름 |
processname |
string |
옵션 |
이벤트와 연결된 프로세스의 이름 |
username |
string |
옵션 |
이벤트와 연결된 사용자 계정의 이름 |
hash |
string |
옵션 |
필터링된 개체의 SHA1 해시 |
event |
string |
옵션 |
이벤트 유형 |
rule_id |
string |
옵션 |
규칙 ID |
action_taken |
string |
옵션 |
수행된 동작 |
scanner_id |
string |
옵션 |
검사기 ID |
object_uri |
string |
옵션 |
오브젝트 URI |
target_address |
string |
옵션 |
이벤트 대상의 주소 |
target_address_type |
string |
옵션 |
이벤트 대상의 주소 유형 (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
옵션 |
탐지가 처리되었는지 여부를 나타냄 |
FilteredWebsites_Event JSON 로그 예제:
EnterpriseInspectorAlert_Event
ESET PROTECT에서 Syslog로 ESET Inspect 경보를 전달합니다. 구체적인 특성은 다음과 같습니다.
processname |
string |
옵션 |
이 경보를 발생시키는 프로세스의 이름 |
---|---|---|---|
username |
string |
옵션 |
프로세스 소유자 |
rulename |
string |
옵션 |
이 경보를 트리거하는 규칙의 이름 |
count |
숫자 |
옵션 |
마지막 경보 이후에 생성된 이 유형의 경보 수 |
hash |
string |
옵션 |
경보의 SHA1 해시 |
eiconsolelink |
string |
옵션 |
ESET Inspect 콘솔의 경보 링크 |
eialarmid |
string |
옵션 |
경보 링크의 ID 하위 부분(^http.*/alarm/([0-9]+)$의 $1) |
computer_severity_score |
숫자 |
옵션 |
컴퓨터 심각도 점수 |
severity_score |
숫자 |
옵션 |
규칙 심각도 점수 |
EnterpriseInspectorAlert_Event JSON 로그 예제:
BlockedFiles_Event
ESET PROTECT에서 Syslog로 ESET Inspect 차단된 파일을 전달합니다. 구체적인 특성은 다음과 같습니다.
hostname |
string |
옵션 |
이벤트가 있는 컴퓨터의 호스트 이름 |
processname |
string |
옵션 |
이벤트와 연결된 프로세스의 이름 |
username |
string |
옵션 |
이벤트와 연결된 사용자 계정의 이름 |
hash |
string |
옵션 |
차단된 파일의 SHA1 해시 |
object_uri |
string |
옵션 |
오브젝트 URI |
action |
string |
옵션 |
수행된 동작 |
firstseen |
string |
옵션 |
해당 컴퓨터에서 처음으로 탐지가 발견된 시간과 날짜(날짜 및 시간 형식) |
cause |
string |
옵션 |
|
description |
string |
옵션 |
차단된 파일에 대한 설명 |
handled |
string |
옵션 |
탐지가 처리되었는지 여부를 나타냄 |