Eventos exportados para o formato JSON
O JSON é um formato leve para troca de dados. É construído em uma coleção de pares de nome / valor e uma lista ordenada de valores.
Eventos exportados
Esta seção contém detalhes sobre o formato e significado de atributos de todos os eventos exportados. A mensagem de evento está na forma de um objeto JSON com algumas chaves obrigatórias e outras opcionais. Cada evento exportado vai ter a chave a seguir:
event_type |
string |
|
Tipo de eventos exportados: •Threat_Event (detecções de Antivírus) •FirewallAggregated_Event (detecções de Firewall) •HipsAggregated_Event (detecções de HIPS) •Audit_Event (Relatório de auditoria) •FilteredWebsites_Event (sites filtrados – Proteção da web) |
---|---|---|---|
ipv4 |
string |
opcional |
Endereço IPv4 do computador gerando o evento. |
ipv6 |
string |
opcional |
Endereço IPv6 do computador gerando o evento. |
group_name |
string |
|
O grupo estático do computador gerando o evento. |
source_uuid |
string |
|
UUID do computador gerando o evento. |
occurred |
string |
|
Hora UTC de ocorrência do evento. O formato é %d-%b-%Y %H:%M:%S |
severity |
string |
|
Gravidade do evento. Valores possíveis (do menos ao mais grave) são: Informação, Aviso, Alerta, Erro, Crítico, Fatal |
Todos os tipos de evento listados abaixo com todos os níveis de gravidade são reportados ao servidor Syslog. Para filtrar os relatórios de evento enviados para o Syslog, crie uma notificação de categoria de relatório com um filtro definido. Os valores reportados dependem do produto de segurança ESET (e sua versão) instalado no computador gerenciado, e o ESET PROTECT reporta apenas os dados recebidos. Portanto, a ESET não pode fornecer uma lista completa de todos os valores. Recomendamos observar sua rede e filtrar os relatórios com base nos valores recebidos. |
Teclas personalizadas de acordo com o event_type:
Threat_Event
Todos os eventos de Detecção Antivírus gerados por endpoints gerenciados serão encaminhados para o Syslog. Chave de evento específica de Detecção:
threat_type |
string |
opcional |
Tipo de detecção |
---|---|---|---|
threat_name |
string |
opcional |
Nome da detecção |
threat_flags |
string |
opcional |
Sinalizadores de detecção relacionados |
scanner_id |
string |
opcional |
ID do Scanner |
scan_id |
string |
opcional |
ID de rastreamento |
engine_version |
string |
opcional |
Versão do mecanismo de escaneamento |
object_type |
string |
opcional |
Tipo de objeto relacionado a este evento |
object_uri |
string |
opcional |
URI do objeto |
action_taken |
string |
opcional |
Ação realizada pelo Endpoint |
action_error |
string |
opcional |
Mensagem de erro se a "ação" não for bem sucedida |
threat_handled |
bool |
opcional |
Indica se a detecção foi resolvida ou não |
need_restart |
bool |
opcional |
Indica se era necessário reiniciar ou não |
username |
string |
opcional |
Nome da conta de usuário associada ao evento |
processname |
string |
opcional |
Nome do processo associado ao evento |
circumstances |
string |
opcional |
Descrição breve do que causou o evento |
hash |
string |
opcional |
SHA1 hash do fluxo de dados (detecção). |
string |
opcional |
Data e hora de quando a detecção foi detectada pela primeira vez na máquina. O ESET PROTECT usa formatos de data-hora diferentes para o atributo firstseen (e qualquer outro atributo de data-hora) dependendo do formato de saída do relatório (JSON ou LEEF): •JSON formato:"%d-%b-%Y %H:%M:%S" •LEEF formato:"%b %d %Y %H:%M:%S" |
Exemplo de relatório JSON Threat_Event:
FirewallAggregated_Event
Relatórios de evento gerados pelo Firewall da ESET (detecções de Firewall) são agregados pelo Agente ESET Management gerente, para evitar o desperdício de banda durante Agente ESET Management/ ESET PROTECT. Servidor replicação. Chave de evento específico de Firewall:
event |
string |
opcional |
Nome do evento |
---|---|---|---|
source_address |
string |
opcional |
Endereço da origem do evento |
source_address_type |
string |
opcional |
Tipo de endereço da origem do evento |
source_port |
número |
opcional |
Porta de origem do evento |
target_address |
string |
opcional |
Endereço do destino do evento |
target_address_type |
string |
opcional |
Tipo de endereço do destino do evento |
target_port |
número |
opcional |
Porta de destino do evento |
protocol |
string |
opcional |
Protocolo |
account |
string |
opcional |
Nome da conta de usuário associada ao evento |
process_name |
string |
opcional |
Nome do processo associado ao evento |
rule_name |
string |
opcional |
Nome da regra |
rule_id |
string |
opcional |
ID de regra |
inbound |
bool |
opcional |
Indica se a conexão era de entrada ou não |
threat_name |
string |
opcional |
Nome da detecção |
aggregate_count |
número |
opcional |
Quantas mensagens exatamente iguais foram geradas pelo endpoint entre duas replicações consecutivas entre o ESET PROTECT Servidor e gerenciamento do Agente ESET Management |
action |
string |
opcional |
Ação realizada |
handled |
string |
opcional |
Indica se a detecção foi resolvida ou não |
Exemplo de relatório JSON FirewallAggregated_Event:
HIPSAggregated_Event
Eventos do Sistema de Prevenção de intruso Baseado em Host (detecções de HIPS) são filtrados por gravidade antes de serem enviados como mensagens Syslog. Os atributos específicos HIPS são os seguintes:
application |
string |
opcional |
Nome do aplicativo |
---|---|---|---|
operation |
string |
opcional |
Operação |
target |
string |
opcional |
Destino |
action |
string |
opcional |
Ação realizada |
action_taken |
string |
opcional |
Ação realizada pelo Endpoint |
rule_name |
string |
opcional |
Nome da regra |
rule_id |
string |
opcional |
ID de regra |
aggregate_count |
número |
opcional |
Quantas mensagens exatamente iguais foram geradas pelo endpoint entre duas replicações consecutivas entre o ESET PROTECT Servidor e gerenciamento do Agente ESET Management |
handled |
string |
opcional |
Indica se a detecção foi resolvida ou não |
Exemplo de relatório JSON HipsAggregated_Event:
Audit_Event
O ESET PROTECT encaminha as mensagem de relatório de auditoria internas para o Syslog. Os atributos específicos são os seguintes:
domain |
string |
opcional |
Domínio de relatório de auditoria |
---|---|---|---|
action |
string |
opcional |
Ação sendo realizada |
target |
string |
opcional |
Ação de destino no qual está operando |
detail |
string |
opcional |
Descrição detalhada da ação |
user |
string |
opcional |
Usuário de segurança envolvido |
result |
string |
opcional |
Resultado da ação |
Exemplo de relatório Audit_Event:
FilteredWebsites_Event
O ESET PROTECT encaminha os sites filtrados (detecções da Proteção da web) para o Syslog. Os atributos específicos são os seguintes:
hostname |
string |
opcional |
Nome de host do computador com o evento |
processname |
string |
opcional |
Nome do processo associado ao evento |
username |
string |
opcional |
Nome da conta de usuário associada ao evento |
hash |
string |
opcional |
Hashs SHA1 do objeto filtrado |
event |
string |
opcional |
Tipo do evento |
rule_id |
string |
opcional |
ID de regra |
action_taken |
string |
opcional |
Ação realizada |
scanner_id |
string |
opcional |
ID do Scanner |
object_uri |
string |
opcional |
URI do objeto |
target_address |
string |
opcional |
Endereço do destino do evento |
target_address_type |
string |
opcional |
Tipo de endereço do destino do evento (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
opcional |
Indica se a detecção foi resolvida ou não |
Exemplo de relatório JSON FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
O ESET PROTECT encaminha os alarmes ESET Inspect para o syslog. Os atributos específicos são os seguintes:
processname |
string |
opcional |
Nome do processo causando esse alarme |
---|---|---|---|
username |
string |
opcional |
Proprietário do processo |
rulename |
string |
opcional |
Nome da regra acionando este alarme |
count |
número |
opcional |
Número de alertas desse tipo gerados desde o último alarme |
hash |
string |
opcional |
Hash SHA1 do alarme |
eiconsolelink |
string |
opcional |
Link para o alarme no console ESET Inspect |
eialarmid |
string |
opcional |
ID da subparte do link de alarme ($1 no ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
número |
opcional |
Pontuação de gravidade do computador |
severity_score |
número |
opcional |
Pontuação de gravidade da regra |
Exemplo de relatório JSON EnterpriseInspectorAlert_Event:
BlockedFiles_Event
O ESET PROTECT encaminha os arquivos bloqueados ESET Inspect ao Syslog. Os atributos específicos são os seguintes:
hostname |
string |
opcional |
Nome de host do computador com o evento |
processname |
string |
opcional |
Nome do processo associado ao evento |
username |
string |
opcional |
Nome da conta de usuário associada ao evento |
hash |
string |
opcional |
Hash SHA1 do arquivo bloqueado |
object_uri |
string |
opcional |
URI do objeto |
action |
string |
opcional |
Ação realizada |
firstseen |
string |
opcional |
Hora e data em que a detecção foi encontrada pela primeira vez na máquina (formato de data e hora). |
cause |
string |
opcional |
|
description |
string |
opcional |
Descrição do arquivo bloqueado |
handled |
string |
opcional |
Indica se a detecção foi resolvida ou não |