ESET 線上說明

搜尋 繁體字
選取類別
選取主題

匯出為 JSON 格式的事件

JSON 是適用於資料交換的輕量型格式。此格式是以名稱/值對的集合和值順序清單為基礎而建立。

匯出的事件

本節針對所有匯出事件的屬性詳細說明其格式及意義。事件訊息為 JSON 物件格式,其中包含一些必要及選用的金鑰。每個匯出事件都包含下列金鑰:

event_type

字串

 

匯出事件的類型:

Threat_Event (icon_antivirus病毒防護 偵測)

FirewallAggregated_Event (icon_firewall 防火牆 偵測)

HipsAggregated_Event (icon_hips HIPS 偵測)

Audit_Event (審核防護記錄)

FilteredWebsites_Event (已過濾的網站 -icon_web_protection Web 防護)

EnterpriseInspectorAlert_Event (icon_ei_alert ESET Inspect 警示)

BlockedFiles_Event (icon_blocked 封鎖的檔案)

ipv4

字串

選用

產生事件的電腦 IPv4 位址。

ipv6

字串

選用

產生事件的電腦 IPv6 位址。

hostname

字串

 

產生事件之電腦的主機名稱。

source_uuid

字串

 

產生事件之電腦的 UUID。

occurred

字串

 

事件發生的 UTC 時間。格式為 %d-%b-%Y %H:%M:%S

severity

字串

 

事件的嚴重性。可能的值 (從最不嚴重到最嚴重) 為:[資訊][通知][警告][錯誤][嚴重][重大]

group_name

字串

 

產生事件之電腦的靜態群組的完整路徑。如果路徑超過 255 個字元,則 group_name 僅包含靜態群組名稱。

group_description

字串

 

靜態群組的說明。

os_name

字串

 

有關電腦作業系統的資訊。


note

下面列出的所有事件類型無論其嚴重性層級為何,均將報告到系統日誌伺服器。 若要過濾傳送至系統日誌的事件防護記錄,請使用已定義的過濾器來建立防護記錄類別通知

報告的值取決於受管理電腦上安裝的 ESET 安全性產品 (及其版本),且 ESET PROTECT 僅會報告接收的資料。因此,ESET 無法提供所有值的詳盡清單。我們建議您查看網路並基於您接收到的值來過濾防護記錄。

根據 event_type 的自訂金鑰:

Threat_Event

受管理端點產生的所有 icon_antivirus病毒防護偵測事件都會轉送到系統日誌。偵測事件特定金鑰:

threat_type

字串

選用

偵測類型

threat_name

字串

選用

偵測名稱

threat_flags

字串

選用

偵測相關旗標

scanner_id

字串

選用

掃描器 ID

scan_id

字串

選用

掃描 ID

engine_version

字串

選用

掃描引擎的版本

object_type

字串

選用

此事件的相關物件類型

object_uri

字串

選用

物件 URI

action_taken

字串

選用

端點採取的動作

action_error

字串

選用

「動作」不成功時產生的錯誤訊息

threat_handled

bool

選用

表示是否已處理偵測

need_restart

bool

選用

是否需要重新啟動

username

字串

選用

與事件相關的使用者帳戶

processname

字串

選用

與事件相關的程序名稱

circumstances

字串

選用

事件發生原因的簡短說明

hash

字串

選用

(偵測) 資料流的 SHA1 雜湊。

firstseen

字串

選用

在該機器上第一次找到偵測的時間和日期。視防護記錄輸出格式 (firstseen 或 JSON) 而定,ESET PROTECT 會對 LEEF 屬性 (和任何其他日期時間屬性) 使用不同的日期時間格式:

JSON 格式:"%d-%b-%Y %H:%M:%S"

LEEF 格式:"%b %d %Y %H:%M:%S"

arrow_down_business Threat_Event JSON 防護記錄範例:

FirewallAggregated_Event

管理 ESET Management 代理程式會彙總 ESET 防火牆 (icon_firewall Firewall 偵測) 產生的事件防護記錄,以避免浪費 ESET Management 代理程式/ESET PROTECT 伺服器複製期間的頻寬。防火牆事件特定金鑰:

event

字串

選用

事件名稱

source_address

字串

選用

事件來源的位址

source_address_type

字串

選用

事件來源的位址類型

source_port

數字

選用

事件來源的連接埠

target_address

字串

選用

事件目的地的位址

target_address_type

字串

選用

事件目的地的位址類型

target_port

數字

選用

事件目的地的連接埠

protocol

字串

選用

通訊協定

account

字串

選用

與事件相關的使用者帳戶

process_name

字串

選用

與事件相關的程序名稱

rule_name

字串

選用

規則名稱

rule_id

字串

選用

規則 ID

inbound

bool

選用

連線是否為外來連線

threat_name

字串

選用

偵測名稱

aggregate_count

數字

選用

介於 ESET PROTECT 伺服器和管理 ESET Management 代理程式的兩個連續複製間,端點所產生的相同訊息數

action

字串

選用

已採取行動

handled

字串

選用

表示是否已處理偵測

arrow_down_business FirewallAggregated_Event JSON 防護記錄範例:

HIPSAggregated_Event

來自主機入侵預防系統 (icon_hips HIPS 偵測) 的事件會先依[嚴重性]進行過濾,然後再傳送為系統日誌訊息。HIPS 特定屬性如下所示:

application

字串

選用

應用程式名稱

operation

字串

選用

作業

target

字串

選用

目標

action

字串

選用

已採取行動

action_taken

字串

選用

端點採取的動作

rule_name

字串

選用

規則名稱

rule_id

字串

選用

規則 ID

aggregate_count

數字

選用

介於 ESET PROTECT 伺服器和管理 ESET Management 代理程式的兩個連續複製間,端點所產生的相同訊息數

handled

字串

選用

表示是否已處理偵測

arrow_down_business HipsAggregated_Event JSON 防護記錄範例:

Audit_Event

ESET PROTECT 會將伺服器的內部審核防護記錄訊息轉寄至 Syslog。特定屬性如下所示:

domain

字串

選用

審查記錄檔網域

action

字串

選用

採取處理方法

target

字串

選用

目標處理方法會運作於

detail

字串

選用

處理方法的詳細說明。

user

字串

選用

有關的安全性使用者

result

字串

選用

處理方法的結果

arrow_down_business Audit_Event 防護記錄範例:

FilteredWebsites_Event

ESET PROTECT 將已過濾的網站 (icon_web_protectionWeb 防護偵測) 轉寄至系統日誌。特定屬性如下所示:

processname

字串

選用

與事件相關的程序名稱

username

字串

選用

與事件相關的使用者帳戶

hash

字串

選用

已過濾物件的 SHA1 雜湊

event

字串

選用

事件類型

rule_id

字串

選用

規則 ID

action_taken

字串

選用

已採取行動

scanner_id

字串

選用

掃描器 ID

object_uri

字串

選用

物件 URI

target_address

字串

選用

事件目的地的位址

target_address_type

字串

選用

事件目的地的位址類型 25769803777 = IPv4; 25769803778 = IPv6)

handled

字串

選用

表示是否已處理偵測

arrow_down_business FilteredWebsites_Event JSON 防護記錄範例:

EnterpriseInspectorAlert_Event

ESET PROTECT 會將警示 ESET Inspect 轉寄至系統日誌。特定屬性如下所示:

processname

字串

選用

造成此警示的程序名稱

username

字串

選用

程序擁有者

rulename

字串

選用

觸發此警示的規則名稱

count

數字

選用

自上次警示起產生的此類型警示數量

hash

字串

選用

警示的 SHA1 雜湊

eiconsolelink

字串

選用

在 ESET Inspect 主控台中連結到警示

eialarmid

字串

選用

警示連結的 ID 子部分 (^http.*/alarm/([0-9]+)$ 中的 $1)

computer_severity_score

數字

選用

電腦嚴重性評分

severity_score

數字

選用

規則嚴重性評分

arrow_down_business EnterpriseInspectorAlert_Event JSON 日誌示例:

BlockedFiles_Event

ESET PROTECT 將 ESET Inspect icon_blocked 封鎖的檔案轉寄至系統日誌。特定屬性如下所示:

processname

字串

選用

與事件相關的程序名稱

username

字串

選用

與事件相關的使用者帳戶

hash

字串

選用

封鎖的檔案 SHA1 雜湊

object_uri

字串

選用

物件 URI

action

字串

選用

已採取行動

firstseen

字串

選用

在該電腦上首次發現偵測的時間和日期 (日期和時間格式)。

cause

字串

選用

 

description

字串

選用

封鎖的檔案描述

handled

字串

選用

表示是否已處理偵測