ESET-ova online pomoć

Traži Hrvatski
Odaberite kategoriju
Odaberite temu

Događaji izvezeni u format JSON

JSONjednostavan je format za razmjenu podataka. Temelji se na skupu parova naziva/vrijednosti i poredanog popisa vrijednosti.

Izvezeni događaji

Ovaj odjeljak sadrži pojedinosti o formatu i značenju atributa svih izvezenih događaja. Poruka događaja ima oblik JSON objekta s nekim obaveznim i nekim dodatnim ključevima. Svaki izvezeni događaj sadržavat će sljedeći ključ:

event_type

niz

 

Vrsta izvezenih događaja:

Threat_Event (icon_antivirusAntivirusne otkrivene prijetnje)

FirewallAggregated_Event (icon_firewall otkrivene prijetnje firewalla)

HipsAggregated_Event (icon_hips HIPS prijetnje)

Audit_Event (Dnevnik provjere)

FilteredWebsites_Event (filtrirane web stranice –icon_web_protection web zaštita)

EnterpriseInspectorAlert_Event (icon_ei_alert upozorenja funkcije ESET Inspect)

BlockedFiles_Event (icon_blocked Blokirane datoteke)

ipv4

niz

nije obavezno

IPv4 adresa računala koje generira događaj.

ipv6

niz

nije obavezno

IPv6 adresa računala koje generira događaj.

hostname

niz

 

Naziv hosta računala koje generira događaj.

source_uuid

niz

 

UUID računala koje generira događaj.

occurred

niz

 

UTC vrijeme zbivanja događaja. Format je %d-%b-%Y %H:%M:%S

severity

niz

 

Razina ozbiljnosti događaja. Moguće su sljedeće vrijednosti (od najmanje ozbiljne do najozbiljnije): Informacija, Obavijest, Upozorenje, Pogreška, Kritična pogreška, Kobna pogreška.

group_name

niz

 

Cijeli put statičke grupe računala koje generira događaj. Ako je put dulji od 255 znakova, group_name sadrži samo naziv statičke grupe.

group_description

niz

 

Opis statičke grupe.

os_name

niz

 

Informacije o operacijskom sustavu računala.


note

Sve niže navedene vrste događaja sa svim razinama ozbiljnosti se prijavljuju Syslog serveru. Da biste filtrirali dnevnike događaja poslane u Syslog, stvorite obavijest o kategoriji dnevnika s definiranim filtrom.

Prijavljene vrijednosti ovise o ESET-ovom sigurnosnom programu (i njegovoj verziji) instaliranom na upravljanom računalu i ESET PROTECT On-Prem izvješćuje samo o primljenim podacima. Stoga ESET ne može pružiti sveobuhvatan popis svih vrijednosti. Preporučujemo da gledate svoju mrežu i filtrirate dnevnike na temelju vrijednosti koje primate.

Prilagođeni ključevi prema stavci event_type:

Threat_Event

Svi događaji icon_antivirusAntivirusnih otkrivenih prijetnji koje generiraju upravljana računala prosljeđuju se Syslogu. Poseban ključ događaja prijetnji:

threat_type

niz

nije obavezno

Vrsta prijetnje

threat_name

niz

nije obavezno

Naziv prijetnje

threat_flags

niz

nije obavezno

Zastavice koje se odnose na prijetnje

scanner_id

niz

nije obavezno

ID skenera

scan_id

niz

nije obavezno

ID skeniranja

engine_version

niz

nije obavezno

Verzija sustava za skeniranje

object_type

niz

nije obavezno

Vrsta objekta povezanog s ovim događajem

object_uri

niz

nije obavezno

URI objekta

action_taken

niz

nije obavezno

Radnja koju poduzima Endpoint

action_error

niz

nije obavezno

Poruka o pogrešci ako "radnja" nije uspješna

threat_handled

bool

nije obavezno

Označava je li prijetnja riješena

need_restart

bool

nije obavezno

Označava je li potrebno ponovno pokretanje

username

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

processname

niz

nije obavezno

Naziv procesa povezanog s događajem

circumstances

niz

nije obavezno

Kratak opis uzroka događaja

hash

niz

nije obavezno

SHA1 hash protoka podataka (o prijetnjama).

firstseen

niz

nije obavezno

Vrijeme i datum kad je prijetnja prvi put otkrivena na tom računalu. ESET PROTECT On-Prem upotrebljava različite formate datuma i vremena za atribut firstseen (i sve druge atribute datuma i vremena) ovisno o izlaznom formatu dnevnika (JSON ili LEEF):

JSON format: "%d-%b-%Y %H:%M:%S"

LEEF format: "%b %d %Y %H:%M:%S"

arrow_down_business Primjer dnevnika Threat_Event JSON:

FirewallAggregated_Event

Dnevnike događaja koje generira ESET Firewall (icon_firewall otkrivene prijetnje firewalla) prikuplja upravljački ESET Management agent da bi se izbjeglo trošenje propusnosti veze tijekom replikacije ESET Management agenta / ESET PROTECT servera. Posebni ključ događaja firewalla:

event

niz

nije obavezno

Naziv događaja

source_address

niz

nije obavezno

Adresa izvora događaja

source_address_type

niz

nije obavezno

Vrsta adrese izvora događaja

source_port

broj

nije obavezno

Port izvora događaja

target_address

niz

nije obavezno

Adresa odredišta događaja

target_address_type

niz

nije obavezno

Vrsta adrese odredišta događaja

target_port

broj

nije obavezno

Port odredišta događaja

protocol

niz

nije obavezno

Protokol

account

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

process_name

niz

nije obavezno

Naziv procesa povezanog s događajem

rule_name

niz

nije obavezno

Naziv pravila

rule_id

niz

nije obavezno

ID pravila

inbound

bool

nije obavezno

Označava je li veza bila ulazna

threat_name

niz

nije obavezno

Naziv prijetnje

aggregate_count

broj

nije obavezno

Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESET PROTECT servera i izvršnog ESET Management agenta.

action

niz

nije obavezno

Poduzeta radnja

handled

niz

nije obavezno

Označava je li prijetnja riješena

arrow_down_business Primjer dnevnika FirewallAggregated_Event JSONt:

HIPSAggregated_Event

Događaji iz sistema za sprječavanje upada (icon_hips HIPS prijetnje) filtriraju se s obzirom na ozbiljnost prije nego što se pošalju dalje kao Syslog poruke. Posebni su HIPS atributi sljedeći:

application

niz

nije obavezno

Naziv aplikacije

operation

niz

nije obavezno

Operacija

target

niz

nije obavezno

Objekt

action

niz

nije obavezno

Poduzeta radnja

action_taken

niz

nije obavezno

Radnja koju poduzima Endpoint

rule_name

niz

nije obavezno

Naziv pravila

rule_id

niz

nije obavezno

ID pravila

aggregate_count

broj

nije obavezno

Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESET PROTECT servera i izvršnog ESET Management agenta.

handled

niz

nije obavezno

Označava je li prijetnja riješena

arrow_down_business Primjer dnevnika HipsAggregated_Event JSON:

Audit_Event

ESET PROTECT On-Prem prosljeđuje interne poruke dnevnika provjere Syslogu. Posebni su atributi sljedeći:

domain

niz

nije obavezno

Domena dnevnika provjere

action

niz

nije obavezno

Radnja koja se odvija

target

niz

nije obavezno

Ciljna radnja radi na

detail

niz

nije obavezno

Detaljni opis radnje

user

niz

nije obavezno

Korisnik zaštite koji je uključen

result

niz

nije obavezno

Rezultat radnje

arrow_down_business Primjer dnevnika Audit_Event:

FilteredWebsites_Event

ESET PROTECT On-Prem prosljeđuje filtrirane web stranice (prijetnje icon_web_protectionweb zaštite) syslogu. Posebni su atributi sljedeći:

processname

niz

nije obavezno

Naziv procesa povezanog s događajem

username

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

hash

niz

nije obavezno

SHA1 hash filtriranog objekta

event

niz

nije obavezno

Vrsta događaja

rule_id

niz

nije obavezno

ID pravila

action_taken

niz

nije obavezno

Poduzeta radnja

scanner_id

niz

nije obavezno

ID skenera

object_uri

niz

nije obavezno

URI objekta

target_address

niz

nije obavezno

Adresa odredišta događaja

target_address_type

niz

nije obavezno

Vrsta adrese odredišta događaja (25769803777 = IPv4; 25769803778 = IPv6)

handled

niz

nije obavezno

Označava je li prijetnja riješena

arrow_down_business Primjer dnevnika FilteredWebsites_Event JSON:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem prosljeđuje icon_ei_alert ESET Inspect upozorenja syslogu. Posebni su atributi sljedeći:

processname

niz

nije obavezno

Naziv procesa koji uzrokuje upozorenje

username

niz

nije obavezno

Vlasnik procesa

rulename

niz

nije obavezno

Naziv pravila koje aktivira ovo upozorenje

count

broj

nije obavezno

Broj upozorenja ove vrste generiranih od posljednjeg upozorenja

hash

niz

nije obavezno

SHA1 hash upozorenja

eiconsolelink

niz

nije obavezno

Link na upozorenje u ESET Inspect On-Prem konzoli

eialarmid

niz

nije obavezno

ID poddio linka upozorenja ($1 u ^http.*/alarm/([0-9]+)$)

computer_severity_score

broj

nije obavezno

Rezultat ozbiljnosti računala

severity_score

broj

nije obavezno

Rezultat ozbiljnosti pravila

arrow_down_business Primjer dnevnika EnterpriseInspectorAlert_Event JSON:

BlockedFiles_Event

ESET PROTECT On-Prem prosljeđuje ESET Inspect On-Prem icon_blocked blokirane datoteke syslogu. Posebni su atributi sljedeći:

processname

niz

nije obavezno

Naziv procesa povezanog s događajem

username

niz

nije obavezno

Naziv korisničkog računa povezanog s događajem

hash

niz

nije obavezno

SHA1 hash blokirane datoteke

object_uri

niz

nije obavezno

URI objekta

action

niz

nije obavezno

Poduzeta radnja

firstseen

niz

nije obavezno

Vrijeme i datum kad je prijetnja prvi put otkrivena na tom računalu (format vremena i datuma).

cause

niz

nije obavezno

 

description

niz

nije obavezno

Opis blokirane datoteke

handled

niz

nije obavezno

Označava je li prijetnja riješena