الأحداث المصدرة إلى تنسيق JSON
يعد JSON تنسيقاً بسيطاً لتبادل البيانات. وهو يعتمد على مجموعة من مجموعات ثنائية مكونة من الاسم / القيمة وقائمة مُرتّبة من القيم.
أحداث تم تصديرها
يحتوي هذا القسم على تفاصيل حول التنسيق ومعنى السمات الخاصة بجميع الأحداث التي تم تصديرها. تكون رسالة الحدث في شكل كائن JSON مع بعض المفاتيح الإلزامية وبعض المفاتيح الاختيارية. سيحتوي كل حدث تم تصديره على المفتاح التالي:
event_type |
string |
|
نوع الأحداث التي تم تصديرها:
|
---|---|---|---|
ipv4 |
string |
اختياري |
عنوان IPv4 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. |
ipv6 |
string |
اختياري |
عنوان IPv6 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. |
hostname |
string |
|
اسم المضيف لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. |
source_uuid |
string |
|
UUID لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. |
occurred |
string |
|
توقيت UTC لحدوث الحدث. التنسيق هو %d-%b-%Y %H:%M:%S |
severity |
string |
|
خطورة الحدث. القيم الممكنة (من الأقل خطورة إلى الأكثر خطورة) هي: معلومات، ملاحظة، تحذير، خطأ، حرج، فادح. |
group_name |
string |
|
المسار الكامل للمجموعة الثابتة لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. إذا كان المسار أطول من 255 حرفاً، فلا يحتوي group_name إلا على اسم المجموعة الثابتة. |
group_description |
string |
|
وصف المجموعة الثابتة. |
os_name |
string |
|
معلومات حول نظام تشغيل الكمبيوتر. |
يتم الإبلاغ عن جميع أنواع الأحداث المدرجة أدناه بكل مستويات الخطورة إلى خادم Syslog. لتصفية سجلات الأحداث المرسلة إلى Syslog، أنشئ إعلام بفئة السجل باستخدام عامل تصفية محدد. تعتمد القيم التي تم الإبلاغ عنها على منتج أمان ESET (وإصداره) المثبت على جهاز الكمبيوتر المُدار ، ويقوم ESET PROTECT On-Prem فقط بالإبلاغ عن البيانات المستلمة. لذلك، لا يمكن لـ ESET توفير قائمة شاملة بجميع القيم. نوصي بمراقبة شبكتك وتصفية السجلات بناءً على القيم التي تتلقاها. |
المفاتيح المخصصة وفقاً لـ event_type:
Threat_Event
جميع أحداث اكتشاف الحماية ضد الفيروسات التي تم إنشاؤها من قبل نقاط النهاية المدارة ستتم إعادة توجيهها إلى Syslog. المفتاح الخاص بحدث الاكتشاف:
threat_type |
string |
اختياري |
نوع الاكتشاف |
---|---|---|---|
threat_name |
string |
اختياري |
اسم الاكتشاف |
threat_flags |
string |
اختياري |
العلامات المرتبطة بالاكتشاف |
scanner_id |
string |
اختياري |
مُعرّف الماسح |
scan_id |
string |
اختياري |
مُعرّف المسح |
engine_version |
string |
اختياري |
إصدار محرك المسح |
object_type |
string |
اختياري |
نوع الكائن المرتبط بهذا الحدث |
object_uri |
string |
اختياري |
URI للكائن |
action_taken |
string |
اختياري |
الإجراء المُتّخذ من قبل نقطة النهاية |
action_error |
string |
اختياري |
رسالة خطأ تظهر إذا لم يكن "الإجراء" ناجحاً |
threat_handled |
bool |
اختياري |
يشير إلى ما إذا تم معالجة الاكتشاف أم لا |
need_restart |
bool |
اختياري |
ما إذا كانت هناك حاجة إلى إعادة التشغيل أم لا |
username |
string |
اختياري |
اسم حساب المستخدم المرتبط بالحدث |
processname |
string |
اختياري |
اسم العملية المرتبطة بالحدث |
circumstances |
string |
اختياري |
وصف مختصر لسبب الحدث |
hash |
string |
اختياري |
SHA1 مزيج دفق البيانات (الاكتشاف). |
string |
اختياري |
وقت وتاريخ العثور على الاكتشاف لأول مرة في هذا الجهاز. يستخدم ESET PROTECT On-Prem تنسيقات تاريخ-وقت مختلفة لسمة firstseen (وأي سمة تاريخ-وقت أخرى) بناءً على تنسيق إخراج السجل (JSON أو LEEF):
|
FirewallAggregated_Event
يتم تجميع سجلات الأحداث التي تم إنشائها من خلال جدار حماية ESET ( اكتشافات جدار الحماية) عن طريق إدارة عامل ESET Management لتجنب إهدار النطاق الترددي في أثناء النسخ المتماثل لعامل ESET Management / خادم ESET PROTECT. المفتاح الخاص بحدث جدار الحماية:
event |
string |
اختياري |
اسم الحدث |
---|---|---|---|
source_address |
string |
اختياري |
عنوان مصدر الحدث |
source_address_type |
string |
اختياري |
نوع عنوان مصدر الحدث |
source_port |
number |
اختياري |
منفذ مصدر الحدث |
target_address |
string |
اختياري |
عنوان وجهة الحدث |
target_address_type |
string |
اختياري |
نوع عنوان وجهة الحدث |
target_port |
number |
اختياري |
منفذ وجهة الحدث |
protocol |
string |
اختياري |
البروتوكول |
account |
string |
اختياري |
اسم حساب المستخدم المرتبط بالحدث |
process_name |
string |
اختياري |
اسم العملية المرتبطة بالحدث |
rule_name |
string |
اختياري |
اسم القاعدة |
rule_id |
string |
اختياري |
مُعرّف القاعدة |
inbound |
bool |
اختياري |
ما إذا كان الاتصال وارداً أم لا |
threat_name |
string |
اختياري |
اسم الاكتشاف |
aggregate_count |
number |
اختياري |
كم عدد الرسائل نفسها تحديداً التي تم إنشاؤها من خلال نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين خادم ESET PROTECT وعامل ESET Management مدير. |
action |
string |
اختياري |
تم الإجراء |
handled |
string |
اختياري |
يشير إلى ما إذا تم معالجة الاكتشاف أم لا |
مثال سجل FirewallAggregated_Event JSON:
HIPSAggregated_Event
تتم تصفية الأحداث من "نظام منع اختراق المضيف" ( اكتشافات نظام منع اختراق المضيف) على الخطورة قبل أن يتم إرسالها كذلك كرسائل Syslog. السمات المرتبطة بـ HIPS هي كالتالي:
application |
string |
اختياري |
اسم التطبيق |
---|---|---|---|
operation |
string |
اختياري |
التشغيل |
target |
string |
اختياري |
الهدف |
action |
string |
اختياري |
تم الإجراء |
action_taken |
string |
اختياري |
الإجراء المُتّخذ من قبل نقطة النهاية |
rule_name |
string |
اختياري |
اسم القاعدة |
rule_id |
string |
اختياري |
مُعرّف القاعدة |
aggregate_count |
number |
اختياري |
كم عدد الرسائل نفسها تحديداً التي تم إنشاؤها من خلال نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين خادم ESET PROTECT وعامل ESET Management مدير. |
handled |
string |
اختياري |
يشير إلى ما إذا تم معالجة الاكتشاف أم لا |
مثال سجل HipsAggregated_Event JSON:
Audit_Event
يقوم ESET PROTECT On-Prem بإعادة توجيه رسائل سجل التدقيق الداخلي إلى Syslog. السمات المعينة هي على النحو التالي:
domain |
string |
اختياري |
مجال سجل التدقيق |
---|---|---|---|
action |
string |
اختياري |
يتم اتخاذ الإجراء |
target |
string |
اختياري |
إجراء الهدف يعمل على |
detail |
string |
اختياري |
وصف مفصل للإجراء |
user |
string |
اختياري |
مستخدم الأمان متضمن |
result |
string |
اختياري |
نتيجة الإجراء |
FilteredWebsites_Event
ESET PROTECT On-Prem يعيد توجيه مواقع الويب التي تمت تصفيتها (اكتشافاتحماية الويب) إلى Syslog. السمات المعينة هي على النحو التالي:
processname |
string |
اختياري |
اسم العملية المرتبطة بالحدث |
username |
string |
اختياري |
اسم حساب المستخدم المرتبط بالحدث |
hash |
string |
اختياري |
SHA1 تجزئة الكائن الذي تمت تصفيته |
event |
string |
اختياري |
نوع الحدث |
rule_id |
string |
اختياري |
مُعرّف القاعدة |
action_taken |
string |
اختياري |
تم الإجراء |
scanner_id |
string |
اختياري |
مُعرّف الماسح |
object_uri |
string |
اختياري |
URI للكائن |
target_address |
string |
اختياري |
عنوان وجهة الحدث |
target_address_type |
string |
اختياري |
نوع عنوان وجهة الحدث (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
اختياري |
يشير إلى ما إذا تم معالجة الاكتشاف أم لا |
مثال سجل FilteredWebsites_Event JSON:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem يعيد توجيه تنبيهات ESET Inspect إلى Syslog. السمات المعينة هي على النحو التالي:
processname |
string |
اختياري |
اسم العملية التي تسبب هذا الإنذار |
---|---|---|---|
username |
string |
اختياري |
صاحب العملية |
rulename |
string |
اختياري |
اسم القاعدة التي تشغل هذا الإنذار |
count |
number |
اختياري |
عدد التنبيهات من هذا النوع التي تم إنشاؤها من آخر إنذار |
hash |
string |
اختياري |
SHA1 تجزئة الإنذار |
eiconsolelink |
string |
اختياري |
ربط إلى الإنذار الموجود في وحدة تحكم ESET Inspect On-Prem |
eialarmid |
string |
اختياري |
معرف الجزء الفرعي لرابط الإنذار ($1 في ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
number |
اختياري |
درجة خطورة جهاز الكمبيوتر |
severity_score |
number |
اختياري |
درجة خطورة القاعدة |
مثال سجل EnterpriseInspectorAlert_Event JSON:
BlockedFiles_Event
ESET PROTECT On-Prem يعيد توجيه ملفات ESET Inspect On-Prem الملفات المحظورة إلى Syslog. السمات المعينة هي على النحو التالي:
processname |
string |
اختياري |
اسم العملية المرتبطة بالحدث |
username |
string |
اختياري |
اسم حساب المستخدم المرتبط بالحدث |
hash |
string |
اختياري |
SHA1 تجزئة الملف المحظور |
object_uri |
string |
اختياري |
URI للكائن |
action |
string |
اختياري |
تم الإجراء |
firstseen |
string |
اختياري |
وقت وتاريخ العثور على الاكتشاف لأول مرة في هذا الجهاز (تنسيق التاريخ والوقت). |
cause |
string |
اختياري |
|
description |
string |
اختياري |
وصف الملف المحظور |
handled |
string |
اختياري |
يشير إلى ما إذا تم معالجة الاكتشاف أم لا |