Zdarzenia eksportowane do formatu JSON
JSON to niewymagający dużej ilości zasobów format wymiany danych. Tworzy go zbiór par nazw i wartości oraz uporządkowana lista wartości.
Eksportowane zdarzenia
W tej części można znaleźć szczegółowe informacje o formacie oraz znaczeniu atrybutów wszystkich eksportowanych zdarzeń. Komunikat o zdarzeniu ma postać obiektu JSON, w którym część kluczy jest obowiązkowa, a część opcjonalna. Każde z wyeksportowanych zdarzeń będzie zawierać następujące klucze:
event_type |
string |
|
Typ wyeksportowanych zdarzeń: •Threat_Event (wykrycia oprogramowania antywirusowego) •FirewallAggregated_Event ( wykrycia zapory sieciowej) •HipsAggregated_Event ( wykrycia systemu HIPS) •Audit_Event (Dziennik audytu) •FilteredWebsites_Event (Filtrowane strony internetowe — Ochrona sieci) |
---|---|---|---|
ipv4 |
string |
opcjonalnie |
Adres IPv4 komputera, który wygenerował zdarzenie. |
ipv6 |
string |
opcjonalnie |
Adres IPv6 komputera, który wygenerował zdarzenie. |
group_name |
string |
|
Grupa statyczna komputera generującego zdarzenie. |
source_uuid |
string |
|
Identyfikator UUID komputera, który wygenerował zdarzenie. |
occurred |
string |
|
Godzina wystąpienia zdarzenia w formacie UTC. Używany format: %d-%b-%Y %H:%M:%S |
severity |
string |
|
Stopień ważności zdarzenia. Możliwe wartości (od najmniejszej do największej wagi): Informacja, Powiadomienie, Ostrzeżenie, Błąd, Krytyczne, Katastrofalny. |
Wszystkie typy zdarzeń wymienione poniżej ze wszystkimi poziomami ważności są zgłaszane do serwera programu Syslog. Aby filtrować dzienniki zdarzeń wysyłane do programu Syslog, utwórz powiadomienie o kategorii dziennika ze zdefiniowanym filtrem. Zgłaszane wartości zależą od produktu zabezpieczającego firmy ESET (i jego wersji) zainstalowanego na zarządzanym komputerze i ESET PROTECT zgłaszają tylko otrzymane dane. W związku z tym firma ESET nie może dostarczyć wyczerpującej listy wszystkich wartości. Zalecamy obserwowanie sieci i filtrowanie dzienników na podstawie otrzymanych wartości. |
Klucze niestandardowe według atrybutu event_type:
Threat_Event
Wszystkie zdarzenia wykrycia przez program antywirusowy wygenerowane przez zarządzane punkty końcowe będą przekazywane do dziennika systemowego Syslog. Klucze zdarzeń związanych z wykryciami:
threat_type |
string |
opcjonalnie |
Typ wykrycia |
---|---|---|---|
threat_name |
string |
opcjonalnie |
Nazwa wykrycia |
threat_flags |
string |
opcjonalnie |
Flagi związane z wykryciem |
scanner_id |
string |
opcjonalnie |
Identyfikator skanera |
scan_id |
string |
opcjonalnie |
Identyfikator skanowania |
engine_version |
string |
opcjonalnie |
Wersja aparatu skanowania |
object_type |
string |
opcjonalnie |
Typ obiektu związanego z tym zdarzeniem |
object_uri |
string |
opcjonalnie |
Identyfikator URI obiektu |
action_taken |
string |
opcjonalnie |
Czynność podjęta przez punkt końcowy |
action_error |
string |
opcjonalnie |
Komunikat o błędzie generowany w przypadku, gdy „czynność” nie przyniesie żądanego efektu |
threat_handled |
wartość logiczna |
opcjonalnie |
Informacja o tym, czy wykrycie zostało obsłużone |
need_restart |
wartość logiczna |
opcjonalnie |
Informacja o tym, czy konieczne jest ponowne uruchomienie |
username |
string |
opcjonalnie |
Nazwa konta użytkownika związanego ze zdarzeniem |
processname |
string |
opcjonalnie |
Nazwa procesu związanego ze zdarzeniem |
circumstances |
string |
opcjonalnie |
Krótki opis przyczyny zdarzenia |
hash |
string |
opcjonalnie |
Skrót SHA1 strumienia danych (wykrycia). |
string |
opcjonalnie |
Godzina i data, gdy wykrycie znaleziono po raz pierwszy w tym urządzeniu. ESET PROTECT stosuje inne formaty daty/godziny w atrybucie firstseen (i każdym innym atrybucie daty/godziny), w zależności od formatu wyjściowego dziennika (JSON lub LEEF): •JSON format:"%d-%b-%Y %H:%M:%S" •LEEF format:"%b %d %Y %H:%M:%S" |
Threat_Event – przykład dziennika JSON:
FirewallAggregated_Event
Dzienniki zdarzeń generowane przez Zaporę ESET ( wykrycia Zapory) są agregowane przez zarządzającego agenta ESET Management, aby uniknąć niepotrzebnego zużycia przepustowości podczas duplikacji agent ESET Management/ serwer ESET PROTECT. Klucze zdarzeń związanych z zaporą:
event |
string |
opcjonalnie |
Nazwa zdarzenia |
---|---|---|---|
source_address |
string |
opcjonalnie |
Adres źródła zdarzenia |
source_address_type |
string |
opcjonalnie |
Typ adresu źródła zdarzenia |
source_port |
wartość liczbowa |
opcjonalnie |
Port źródła zdarzenia |
target_address |
string |
opcjonalnie |
Adres miejsca docelowego zdarzenia |
target_address_type |
string |
opcjonalnie |
Typ adresu miejsca docelowego zdarzenia |
target_port |
wartość liczbowa |
opcjonalnie |
Port miejsca docelowego zdarzenia |
protocol |
string |
opcjonalnie |
Protokół |
account |
string |
opcjonalnie |
Nazwa konta użytkownika związanego ze zdarzeniem |
process_name |
string |
opcjonalnie |
Nazwa procesu związanego ze zdarzeniem |
rule_name |
string |
opcjonalnie |
Nazwa reguły |
rule_id |
string |
opcjonalnie |
Identyfikator reguły |
inbound |
wartość logiczna |
opcjonalnie |
Informacja o tym, czy było to połączenie przychodzące |
threat_name |
string |
opcjonalnie |
Nazwa wykrycia |
aggregate_count |
wartość liczbowa |
opcjonalnie |
Liczba identycznych komunikatów wygenerowanych przez punkt końcowy pomiędzy dwiema kolejnymi replikacjami zachodzącymi między serwerem ESET PROTECT a zarządzaniem agentem ESET Management |
action |
string |
opcjonalnie |
Wykonane czynności |
handled |
string |
opcjonalnie |
Informacja o tym, czy wykrycie zostało obsłużone |
FirewallAggregated_Event – przykład dziennika JSON:
HIPSAggregated_Event
Zdarzenia z systemu zapobiegania włamaniom działającego na hoście Host-based Intrusion Prevention System ( wykrycia systemu HIPS) są filtrowane na podstawie stopnia ważności, zanim zostaną przesłane dalej jako komunikaty Syslog. Poniżej przedstawiono atrybuty związane z systemem HIPS:
application |
string |
opcjonalnie |
Nazwa aplikacji |
---|---|---|---|
operation |
string |
opcjonalnie |
Operacja |
target |
string |
opcjonalnie |
Obiekt docelowy |
action |
string |
opcjonalnie |
Wykonane czynności |
action_taken |
string |
opcjonalnie |
Czynność podjęta przez punkt końcowy |
rule_name |
string |
opcjonalnie |
Nazwa reguły |
rule_id |
string |
opcjonalnie |
Identyfikator reguły |
aggregate_count |
wartość liczbowa |
opcjonalnie |
Liczba identycznych komunikatów wygenerowanych przez punkt końcowy pomiędzy dwiema kolejnymi replikacjami zachodzącymi między serwerem ESET PROTECT a zarządzaniem agentem ESET Management |
handled |
string |
opcjonalnie |
Informacja o tym, czy wykrycie zostało obsłużone |
HipsAggregated_Event – przykład dziennika JSON:
Audit_Event
ESET PROTECT przekazuje komunikaty wewnętrznego dziennika audytu do Syslog. Poniżej przedstawiono konkretne atrybuty:
domain |
string |
opcjonalnie |
Domena dzienników audytu |
---|---|---|---|
action |
string |
opcjonalnie |
Trwające działanie |
target |
string |
opcjonalnie |
Cel, którego dotyczy działanie |
detail |
string |
opcjonalnie |
Szczegółowy opis działania |
user |
string |
opcjonalnie |
Użytkownik związany z zabezpieczeniami |
result |
string |
opcjonalnie |
Wynik działania |
Audit_Event – przykład dziennika:
FilteredWebsites_Event
ESET PROTECT przekazuje filtrowane witryny internetowe (wykrycia funkcji Ochrona dostępu do stron internetowych) do programu Syslog. Poniżej przedstawiono konkretne atrybuty:
hostname |
string |
opcjonalnie |
Nazwa hosta komputera związanego ze zdarzeniem |
processname |
string |
opcjonalnie |
Nazwa procesu związanego ze zdarzeniem |
username |
string |
opcjonalnie |
Nazwa konta użytkownika związanego ze zdarzeniem |
hash |
string |
opcjonalnie |
Skrót SHA1 filtrowanego obiektu |
event |
string |
opcjonalnie |
Typ zdarzenia |
rule_id |
string |
opcjonalnie |
Identyfikator reguły |
action_taken |
string |
opcjonalnie |
Wykonane czynności |
scanner_id |
string |
opcjonalnie |
Identyfikator skanera |
object_uri |
string |
opcjonalnie |
Identyfikator URI obiektu |
target_address |
string |
opcjonalnie |
Adres miejsca docelowego zdarzenia |
target_address_type |
string |
opcjonalnie |
Typ adresu miejsca docelowego zdarzenia (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
opcjonalnie |
Informacja o tym, czy wykrycie zostało obsłużone |
FilteredWebsites_Event – przykład dziennika JSON:
EnterpriseInspectorAlert_Event
ESET PROTECT przekazuje alarmy ESET Inspect do programu Syslog. Poniżej przedstawiono konkretne atrybuty:
processname |
string |
opcjonalnie |
Nazwa procesu wywołującego ten alarm |
---|---|---|---|
username |
string |
opcjonalnie |
Właściciel procesu |
rulename |
string |
opcjonalnie |
Nazwa reguły wyzwalającej ten alarm |
count |
wartość liczbowa |
opcjonalnie |
Liczba alertów tego typu wygenerowanych od ostatniego alarmu |
hash |
string |
opcjonalnie |
Skrót SHA1 alarmu |
eiconsolelink |
string |
opcjonalnie |
Łącze do alarmu w konsoli ESET Inspect |
eialarmid |
string |
opcjonalnie |
Podczęść ID łącza alarmowego ($1 (w ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
wartość liczbowa |
opcjonalnie |
Wynik stopnia zagrożenia komputera |
severity_score |
wartość liczbowa |
opcjonalnie |
Wynik stopnia zagrożenia reguły |
EnterpriseInspectorAlert_Event – przykład dziennika JSON:
BlockedFiles_Event
ESET PROTECT przekazuje zablokowane pliki ESET Inspect do programu Syslog. Poniżej przedstawiono konkretne atrybuty:
hostname |
string |
opcjonalnie |
Nazwa hosta komputera związanego ze zdarzeniem |
processname |
string |
opcjonalnie |
Nazwa procesu związanego ze zdarzeniem |
username |
string |
opcjonalnie |
Nazwa konta użytkownika związanego ze zdarzeniem |
hash |
string |
opcjonalnie |
Skrót SHA1 zablokowanego pliku |
object_uri |
string |
opcjonalnie |
Identyfikator URI obiektu |
action |
string |
opcjonalnie |
Wykonane czynności |
firstseen |
string |
opcjonalnie |
Godzina i data pierwszego wykrycia na tym urządzeniu (format daty i godziny). |
cause |
string |
opcjonalnie |
|
description |
string |
opcjonalnie |
Opis zablokowanego pliku |
handled |
string |
opcjonalnie |
Informacja o tym, czy wykrycie zostało obsłużone |