Événements exportés au format JSON
JSON est un format léger pour l'échange de données. Il repose sur un groupe de paires nom/valeur et une liste classée de valeurs.
Événements exportés
Cette section contient des détails sur le format et la signification des attributs de tous les événements exportés. Le message d'événement prend la forme d'un objet JSON avec quelques clés obligatoires et facultatives. Chaque événement exporté contiendra la clé suivante :
event_type |
string |
|
Type d'événements exportés : •Threat_Event ( détections virales) •FirewallAggregated_Event ( détections du pare-feu) •HipsAggregated_Event ( détections HIPS) •Audit_Event (journal de vérification) •FilteredWebsites_Event (sites web filtrés : protection Web) |
---|---|---|---|
ipv4 |
string |
facultatif |
Adresse IPv4 de l'ordinateur générant l'événement. |
ipv6 |
string |
facultatif |
Adresse IPv6 de l'ordinateur générant l'événement. |
hostname |
string |
|
Nom de l’hôte de l'ordinateur générant l'événement. |
source_uuid |
string |
|
UUID de l'ordinateur générant l'événement. |
occurred |
string |
|
Heure UTC d'occurrence de l'événement. Le format est %d-%b-%Y %H:%M:%S |
severity |
string |
|
Gravité de l'événement. Les valeurs possibles (de la moins grave à la plus grave) sont les suivantes : Information, Remarque, Avertissement, Erreur, Critique, Fatal. |
group_name |
string |
|
Chemin d'accès complet au groupe statique de l'ordinateur générant l'événement. Si le chemin d’accès comporte plus de 255 caractères, group_name ne contient que le nom du groupe statique. |
group_description |
string |
|
Description du groupe statique. |
os_name |
string |
|
Informations sur le système d’exploitation de l’ordinateur. |
Tous les types d’événements répertoriés ci-dessous avec tous les niveaux de gravité sont signalés au serveur Syslog. Pour filtrer les logs d'évènement envoyés à Syslog, créez une notification de catégorie de journaux avec un filtre défini. Les valeurs signalées dépendent du produit de sécurité ESET (et de sa version) installé sur l’ordinateur administré. ESET PROTECT ne signalement que les données reçues. Pour cette raison, ESET ne peut pas fournir une liste exhaustive de toutes les valeurs. Il est recommandé de surveiller votre réseau et de filtrer les journaux selon les valeurs que vous recevez. |
Clés personnalisées selon event_type :
Threat_Event
Tous les événements de détection virale générés par des endpoints gérés seront transférés à Syslog. Clé spécifique à un événement de détection :
threat_type |
string |
facultatif |
Type de détection |
---|---|---|---|
threat_name |
string |
facultatif |
Nom de la détection |
threat_flags |
string |
facultatif |
Indicateurs liés à des détections |
scanner_id |
string |
facultatif |
ID d'analyseur |
scan_id |
string |
facultatif |
ID d'analyse |
engine_version |
string |
facultatif |
Version du moteur d'analyse |
object_type |
string |
facultatif |
Type d'objet lié à cet événement |
object_uri |
string |
facultatif |
URI de l'objet |
action_taken |
string |
facultatif |
Action prise par le point de terminaison |
action_error |
string |
facultatif |
Message d’erreur si « l’action » n’a pas réussi |
threat_handled |
bool |
facultatif |
Indique si la détection a été gérée ou non |
need_restart |
bool |
facultatif |
Indique si un redémarrage est nécessaire ou non |
username |
string |
facultatif |
Nom du compte utilisateur associé à l'événement |
processname |
string |
facultatif |
Nom du processus associé à l'événement |
circumstances |
string |
facultatif |
Brève description de la cause de l'événement |
hash |
string |
facultatif |
Hachage SHA1 du flux de données (détection). |
string |
facultatif |
Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine. ESET PROTECT utilise des formats date-heure différents pour l'attribut firstseen (et tout autre attribut date-heure) selon le format de sortie du journal (JSON ou LEEF) : •JSON format: "%d-%b-%Y %H:%M:%S" •LEEF format: "%b %d %Y %H:%M:%S" |
Threat_Event exemple de journal JSON :
FirewallAggregated_Event
Les logs d'évènement générés par le pare-feu d'ESET ( détections du pare-feu) sont agrégés par le gestionnaire ESET Management Agent pour éviter le gaspillage de bande passante pendant la réplication d'ESET Management Agent/ESET PROTECT Server. Clé spécifique à un événement de pare-feu :
event |
string |
facultatif |
Nom de l'événement |
---|---|---|---|
source_address |
string |
facultatif |
Adresse de la source de l'événement |
source_address_type |
string |
facultatif |
Type d'adresse de la source de l'événement |
source_port |
number |
facultatif |
Port de la source de l'événement |
target_address |
string |
facultatif |
Adresse de la destination de l'événement |
target_address_type |
string |
facultatif |
Type d'adresse de la destination de l'événement |
target_port |
number |
facultatif |
Port de la destination de l'événement |
protocol |
string |
facultatif |
Protocole |
account |
string |
facultatif |
Nom du compte utilisateur associé à l'événement |
process_name |
string |
facultatif |
Nom du processus associé à l'événement |
rule_name |
string |
facultatif |
Nom de la règle |
rule_id |
string |
facultatif |
ID de règle |
inbound |
bool |
facultatif |
Indique si la connexion était entrante ou non |
threat_name |
string |
facultatif |
Nom de la détection |
aggregate_count |
number |
facultatif |
Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre ESET PROTECT Server et le gestionnaire ESET Management Agent. |
action |
string |
facultatif |
Action entreprise |
handled |
string |
facultatif |
Indique si la détection a été gérée ou non |
FirewallAggregated_Event exemple de journal JSON :
HIPSAggregated_Event
Les événements du système HIPS ( détections HIPS) sont filtrés sur la gravité avant d'être transmis plus avant en tant que messages Syslog. Les attributs spécifiques à HIPS sont les suivants :
application |
string |
facultatif |
Nom de l'application |
---|---|---|---|
operation |
string |
facultatif |
Opération |
target |
string |
facultatif |
Cible |
action |
string |
facultatif |
Action entreprise |
action_taken |
string |
facultatif |
Action prise par le point de terminaison |
rule_name |
string |
facultatif |
Nom de la règle |
rule_id |
string |
facultatif |
ID de règle |
aggregate_count |
number |
facultatif |
Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre ESET PROTECT Server et le gestionnaire ESET Management Agent. |
handled |
string |
facultatif |
Indique si la détection a été gérée ou non |
HipsAggregated_Event exemple de journal JSON :
Audit_Event
ESET PROTECT transfère les messages du journal de vérification interne à Syslog. Les attributs spécifiques sont les suivants :
domain |
string |
facultatif |
Domaine du journal d'audit |
---|---|---|---|
action |
string |
facultatif |
Action exécutée |
target |
string |
facultatif |
L'action cible est effectuée sur |
detail |
string |
facultatif |
Description détaillée de l'action |
user |
string |
facultatif |
Utilisateur de sécurité impliqué |
result |
string |
facultatif |
Résultat de l'action |
Exemple de journal Audit_Event log :
FilteredWebsites_Event
ESET PROTECT transfère les sites Web filtrés (détections de la protection Web) vers Syslog. Les attributs spécifiques sont les suivants :
processname |
string |
facultatif |
Nom du processus associé à l'événement |
username |
string |
facultatif |
Nom du compte utilisateur associé à l'événement |
hash |
string |
facultatif |
Hachage de l'objet filtré SHA1 |
event |
string |
facultatif |
Type d'événement |
rule_id |
string |
facultatif |
ID de règle |
action_taken |
string |
facultatif |
Action entreprise |
scanner_id |
string |
facultatif |
ID d'analyseur |
object_uri |
string |
facultatif |
URI de l'objet |
target_address |
string |
facultatif |
Adresse de la destination de l'événement |
target_address_type |
string |
facultatif |
Type d'adresse de la destination de l'événement (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
facultatif |
Indique si la détection a été gérée ou non |
FilteredWebsites_Event exemple de journal JSON :
EnterpriseInspectorAlert_Event
ESET PROTECT transfère les alarmes ESET Inspect à Syslog. Les attributs spécifiques sont les suivants :
processname |
string |
facultatif |
Nom du processus entraînant cette alarme |
---|---|---|---|
username |
string |
facultatif |
Détenteur du processus |
rulename |
string |
facultatif |
Nom de la règle déclenchant cette alarme |
count |
number |
facultatif |
Nombre d'alertes de ce type générées depuis la dernière alarme |
hash |
string |
facultatif |
Hachage de l'alarme SHA1 |
eiconsolelink |
string |
facultatif |
Lien vers l'alarme dans la console ESET Inspect |
eialarmid |
string |
facultatif |
Sous-partie de l'ID du lien de l'alarme ($1 dans ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
number |
facultatif |
Score de gravité de l’ordinateur |
severity_score |
number |
facultatif |
Score de gravité de la règle |
EnterpriseInspectorAlert_Event exemple de journal JSON :
BlockedFiles_Event
ESET PROTECT transfère les fichiers bloqués ESET Inspect vers Syslog. Les attributs spécifiques sont les suivants :
processname |
string |
facultatif |
Nom du processus associé à l'événement |
username |
string |
facultatif |
Nom du compte utilisateur associé à l'événement |
hash |
string |
facultatif |
Hachage du fichier bloqué SHA1 |
object_uri |
string |
facultatif |
URI de l'objet |
action |
string |
facultatif |
Action entreprise |
firstseen |
string |
facultatif |
Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine (format de date et heure). |
cause |
string |
facultatif |
|
description |
string |
facultatif |
Description du fichier bloqué |
handled |
string |
facultatif |
Indique si la détection a été gérée ou non |