Pomoc online ESET

Wyszukaj Polski
Wybierz kategorię
Wybierz temat

Zdarzenia eksportowane do formatu JSON

JSON to niewymagający dużej ilości zasobów format wymiany danych. Tworzy go zbiór par nazw i wartości oraz uporządkowana lista wartości.

Eksportowane zdarzenia

W tej części można znaleźć szczegółowe informacje o formacie oraz znaczeniu atrybutów wszystkich eksportowanych zdarzeń. Komunikat o zdarzeniu ma postać obiektu JSON, w którym część kluczy jest obowiązkowa, a część opcjonalna. Każde z wyeksportowanych zdarzeń będzie zawierać następujące klucze:

event_type

string

 

Typ wyeksportowanych zdarzeń:

Threat_Event (icon_antiviruswykrycia oprogramowania antywirusowego)

FirewallAggregated_Event (icon_firewall wykrycia zapory sieciowej)

HipsAggregated_Event (icon_hips wykrycia systemu HIPS)

Audit_Event (Dziennik audytu)

FilteredWebsites_Event (Filtrowane strony internetowe — icon_web_protection Ochrona sieci)

EnterpriseInspectorAlert_Event (icon_ei_alert alerty ESET Inspect)

BlockedFiles_Event (icon_blocked zablokowane pliki)

ipv4

string

opcjonalnie

Adres IPv4 komputera, który wygenerował zdarzenie.

ipv6

string

opcjonalnie

Adres IPv6 komputera, który wygenerował zdarzenie.

hostname

string

 

Identyfikator Nazwa hosta komputera, który wygenerował zdarzenie.

source_uuid

string

 

Identyfikator UUID komputera, który wygenerował zdarzenie.

occurred

string

 

Godzina wystąpienia zdarzenia w formacie UTC. Używany format: %d-%b-%Y %H:%M:%S

severity

string

 

Stopień ważności zdarzenia. Możliwe wartości (od najmniejszej do największej wagi): Informacja, Powiadomienie, Ostrzeżenie, Błąd, Krytyczne, Katastrofalny.

group_name

string

 

Pełna ścieżka do grupy statycznej komputera generującego zdarzenie. Jeśli jednak ścieżka jest dłuższa niż 255 znaków, group_name zawiera tylko nazwę grupy statycznej.

group_description

string

 

Opis grupy statycznej.

os_name

string

 

Informacje o systemie operacyjnym komputera.


note

Wszystkie typy zdarzeń wymienione poniżej ze wszystkimi poziomami ważności są zgłaszane do serwera programu Syslog. Aby filtrować dzienniki zdarzeń wysyłane do programu Syslog, utwórz powiadomienie o kategorii dziennika ze zdefiniowanym filtrem.

Zgłaszane wartości zależą od produktu zabezpieczającego firmy ESET (i jego wersji) zainstalowanego na zarządzanym komputerze i ESET PROTECT On-Prem zgłaszają tylko otrzymane dane. W związku z tym firma ESET nie może dostarczyć wyczerpującej listy wszystkich wartości. Zalecamy obserwowanie sieci i filtrowanie dzienników na podstawie otrzymanych wartości.

Klucze niestandardowe według atrybutu event_type:

Threat_Event

Wszystkie icon_antiviruszdarzenia wykrycia przez program antywirusowy wygenerowane przez zarządzane punkty końcowe będą przekazywane do dziennika systemowego Syslog. Klucze zdarzeń związanych z wykryciami:

threat_type

string

opcjonalnie

Typ wykrycia

threat_name

string

opcjonalnie

Nazwa wykrycia

threat_flags

string

opcjonalnie

Flagi związane z wykryciem

scanner_id

string

opcjonalnie

Identyfikator skanera

scan_id

string

opcjonalnie

Identyfikator skanowania

engine_version

string

opcjonalnie

Wersja aparatu skanowania

object_type

string

opcjonalnie

Typ obiektu związanego z tym zdarzeniem

object_uri

string

opcjonalnie

Identyfikator URI obiektu

action_taken

string

opcjonalnie

Czynność podjęta przez punkt końcowy

action_error

string

opcjonalnie

Komunikat o błędzie generowany w przypadku, gdy „czynność” nie przyniesie żądanego efektu

threat_handled

wartość logiczna

opcjonalnie

Informacja o tym, czy wykrycie zostało obsłużone

need_restart

wartość logiczna

opcjonalnie

Informacja o tym, czy konieczne jest ponowne uruchomienie

username

string

opcjonalnie

Nazwa konta użytkownika związanego ze zdarzeniem

processname

string

opcjonalnie

Nazwa procesu związanego ze zdarzeniem

circumstances

string

opcjonalnie

Krótki opis przyczyny zdarzenia

hash

string

opcjonalnie

Skrót SHA1 strumienia danych (wykrycia).

firstseen

string

opcjonalnie

Godzina i data, gdy wykrycie znaleziono po raz pierwszy w tym urządzeniu. ESET PROTECT On-Prem stosuje inne formaty daty/godziny w atrybucie firstseen (i każdym innym atrybucie daty/godziny), w zależności od formatu wyjściowego dziennika (JSON lub LEEF):

JSON format:"%d-%b-%Y %H:%M:%S"

LEEF format:"%b %d %Y %H:%M:%S"

arrow_down_business Threat_Event – przykład dziennika JSON:

FirewallAggregated_Event

Dzienniki zdarzeń generowane przez Zaporę ESET (icon_firewall wykrycia Zapory) są agregowane przez zarządzającego agenta ESET Management, aby uniknąć niepotrzebnego zużycia przepustowości podczas replikacji między agentem ESET Management a serwerem ESET PROTECT. Klucze zdarzeń związanych z zaporą:

event

string

opcjonalnie

Nazwa zdarzenia

source_address

string

opcjonalnie

Adres źródła zdarzenia

source_address_type

string

opcjonalnie

Typ adresu źródła zdarzenia

source_port

wartość liczbowa

opcjonalnie

Port źródła zdarzenia

target_address

string

opcjonalnie

Adres miejsca docelowego zdarzenia

target_address_type

string

opcjonalnie

Typ adresu miejsca docelowego zdarzenia

target_port

wartość liczbowa

opcjonalnie

Port miejsca docelowego zdarzenia

protocol

string

opcjonalnie

Protokół

account

string

opcjonalnie

Nazwa konta użytkownika związanego ze zdarzeniem

process_name

string

opcjonalnie

Nazwa procesu związanego ze zdarzeniem

rule_name

string

opcjonalnie

Nazwa reguły

rule_id

string

opcjonalnie

Identyfikator reguły

inbound

wartość logiczna

opcjonalnie

Informacja o tym, czy było to połączenie przychodzące

threat_name

string

opcjonalnie

Nazwa wykrycia

aggregate_count

wartość liczbowa

opcjonalnie

Liczba identycznych komunikatów wygenerowanych przez punkt końcowy pomiędzy dwiema kolejnymi replikacjami zachodzącymi między serwerem ESET PROTECT a zarządzającym agentem ESET Management

action

string

opcjonalnie

Wykonane czynności

handled

string

opcjonalnie

Informacja o tym, czy wykrycie zostało obsłużone

arrow_down_business FirewallAggregated_Event – przykład dziennika JSON:

HIPSAggregated_Event

Zdarzenia z systemu zapobiegania włamaniom działającego na hoście Host-based Intrusion Prevention System (icon_hips wykrycia systemu HIPS) są filtrowane na podstawie stopnia ważności, zanim zostaną przesłane dalej jako komunikaty Syslog. Poniżej przedstawiono atrybuty związane z systemem HIPS:

application

string

opcjonalnie

Nazwa aplikacji

operation

string

opcjonalnie

Operacja

target

string

opcjonalnie

Obiekt docelowy

action

string

opcjonalnie

Wykonane czynności

action_taken

string

opcjonalnie

Czynność podjęta przez punkt końcowy

rule_name

string

opcjonalnie

Nazwa reguły

rule_id

string

opcjonalnie

Identyfikator reguły

aggregate_count

wartość liczbowa

opcjonalnie

Liczba identycznych komunikatów wygenerowanych przez punkt końcowy pomiędzy dwiema kolejnymi replikacjami zachodzącymi między serwerem ESET PROTECT a zarządzającym agentem ESET Management

handled

string

opcjonalnie

Informacja o tym, czy wykrycie zostało obsłużone

arrow_down_business HipsAggregated_Event – przykład dziennika JSON:

Audit_Event

ESET PROTECT On-Prem przekazuje komunikaty wewnętrznego dziennika audytu do Syslog. Poniżej przedstawiono konkretne atrybuty:

domain

string

opcjonalnie

Domena dzienników audytu

action

string

opcjonalnie

Trwające działanie

target

string

opcjonalnie

Cel, którego dotyczy działanie

detail

string

opcjonalnie

Szczegółowy opis działania

user

string

opcjonalnie

Użytkownik związany z zabezpieczeniami

result

string

opcjonalnie

Wynik działania

arrow_down_business Audit_Event – przykład dziennika:

FilteredWebsites_Event

ESET PROTECT On-Prem przekazuje filtrowane witryny internetowe (wykrycia funkcji icon_web_protectionOchrona dostępu do stron internetowych) do programu Syslog. Poniżej przedstawiono konkretne atrybuty:

processname

string

opcjonalnie

Nazwa procesu związanego ze zdarzeniem

username

string

opcjonalnie

Nazwa konta użytkownika związanego ze zdarzeniem

hash

string

opcjonalnie

Skrót SHA1 filtrowanego obiektu

event

string

opcjonalnie

Typ zdarzenia

rule_id

string

opcjonalnie

Identyfikator reguły

action_taken

string

opcjonalnie

Wykonane czynności

scanner_id

string

opcjonalnie

Identyfikator skanera

object_uri

string

opcjonalnie

Identyfikator URI obiektu

target_address

string

opcjonalnie

Adres miejsca docelowego zdarzenia

target_address_type

string

opcjonalnie

Typ adresu miejsca docelowego zdarzenia (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

opcjonalnie

Informacja o tym, czy wykrycie zostało obsłużone

arrow_down_business FilteredWebsites_Event – przykład dziennika JSON:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem przekazuje alarmy ESET Inspect do programu Syslog. Poniżej przedstawiono konkretne atrybuty:

processname

string

opcjonalnie

Nazwa procesu wywołującego ten alarm

username

string

opcjonalnie

Właściciel procesu

rulename

string

opcjonalnie

Nazwa reguły wyzwalającej ten alarm

count

wartość liczbowa

opcjonalnie

Liczba alertów tego typu wygenerowanych od ostatniego alarmu

hash

string

opcjonalnie

Skrót SHA1 alarmu

eiconsolelink

string

opcjonalnie

Łącze do alarmu w konsoli ESET Inspect On-Prem

eialarmid

string

opcjonalnie

Podczęść ID łącza alarmowego ($1 (w ^http.*/alarm/([0-9]+)$)

computer_severity_score

wartość liczbowa

opcjonalnie

Wynik stopnia zagrożenia komputera

severity_score

wartość liczbowa

opcjonalnie

Wynik stopnia zagrożenia reguły

arrow_down_business EnterpriseInspectorAlert_Event – przykład dziennika JSON:

BlockedFiles_Event

ESET PROTECT On-Prem przekazuje zablokowane pliki ESET Inspect On-Prem icon_blocked do programu Syslog. Poniżej przedstawiono konkretne atrybuty:

processname

string

opcjonalnie

Nazwa procesu związanego ze zdarzeniem

username

string

opcjonalnie

Nazwa konta użytkownika związanego ze zdarzeniem

hash

string

opcjonalnie

Skrót SHA1 zablokowanego pliku

object_uri

string

opcjonalnie

Identyfikator URI obiektu

action

string

opcjonalnie

Wykonane czynności

firstseen

string

opcjonalnie

Godzina i data pierwszego wykrycia na tym urządzeniu (format daty i godziny).

cause

string

opcjonalnie

 

description

string

opcjonalnie

Opis zablokowanego pliku

handled

string

opcjonalnie

Informacja o tym, czy wykrycie zostało obsłużone