JSON biçimine aktarılan olaylar
JSON veri alışverişi için hafif bir biçimdir. Ad / değer çiftlerinin toplamıyla ve değerlerden oluşan sıralı bir listeyle oluşturulur.
Dışa aktarılan olaylar
Bu bölüm biçimle ve tüm dışa aktarılan olayların özniteliklerinin anlamıyla ilgili ayrıntıları içerir. Olay iletisi bazı zorunlu ve bazı isteğe bağlı anahtarlarla birlikte bir JSON nesnesi biçimindedir. Dışa aktarılan her olay aşağıdaki anahtarı içerir:
event_type |
dize |
|
Dışa aktarılan olayların türü: •Threat_Event (Antivirus tespitleri) •FirewallAggregated_Event ( Güvenlik duvarı tespitleri) •HipsAggregated_Event ( HIPS tespitleri) •Audit_Event (Denetleme günlüğü) •FilteredWebsites_Event (Filtrelenen web siteleri - Web Koruması) |
---|---|---|---|
ipv4 |
dize |
isteğe bağlı |
Olayı oluşturan bilgisayarın IPv4 adresi. |
ipv6 |
dize |
isteğe bağlı |
Olayı oluşturan bilgisayarın IPv6 adresi. |
hostname |
dize |
|
Olayı oluşturan bilgisayarın ana bilgisayar adı. |
source_uuid |
dize |
|
Olayı oluşturan bilgisayarın UUID'si. |
occurred |
dize |
|
Olayın gerçekleştiği UTC saati. Biçim: %d-%b-%Y %H:%M:%S |
severity |
dize |
|
Olayın önem derecesi. Olası değerler (en düşük önem derecesinden en yüksek dereceye kadar): Bilgi, Bildirim, Uyarı, Hata, Kritik, Tehlikeli. |
group_name |
dize |
|
Olayı oluşturan bilgisayarın statik grubuna ait yolun tamamı. Yol 255 karakterden uzunsa group_name yalnızca statik grup adını içerir. |
group_description |
dize |
|
Statik grup açıklaması. |
os_name |
dize |
|
Bilgisayarın işletim sistemiyle ilgili bilgiler. |
Aşağıda listelenen tüm olay türleri ve tüm önem dereceleri Syslog sunucusuna bildirilir. Syslog'a gönderilen olay günlüklerini filtrelemek için tanımlanan bir filtreyle bir günlük kategorisi bildirimi oluşturun. Bildirilen değerler, yönetilen bilgisayarda yüklenmiş olan ESET güvenlik ürününe (ve sürümüne) bağlıdır ve ESET PROTECT On-Prem yalnızca alınan verileri raporlar. Bu nedenle ESET tüm değerlerin yer aldığı bir liste sağlamaz. Ağınızı izlemenizi ve aldığınız değerlere göre günlükleri filtrelemenizi öneririz. |
event_type türüne uygun olarak özel anahtarlar:
Threat_Event
Yönetilen uç noktalar tarafından oluşturulan tüm Antivirus tespit olayları Syslog'a iletilir. Algılama olayına özel anahtar:
threat_type |
dize |
isteğe bağlı |
Algılama türü |
---|---|---|---|
threat_name |
dize |
isteğe bağlı |
Algılama adı |
threat_flags |
dize |
isteğe bağlı |
Algılamayla ilgili bayraklar |
scanner_id |
dize |
isteğe bağlı |
Tarayıcı kimliği |
scan_id |
dize |
isteğe bağlı |
Tarama Kimliği |
engine_version |
dize |
isteğe bağlı |
Tarama altyapısının sürümü |
object_type |
dize |
isteğe bağlı |
Bu olayla ilgili nesnenin türü |
object_uri |
dize |
isteğe bağlı |
Nesne URI'sı |
action_taken |
dize |
isteğe bağlı |
Endpoint tarafından gerçekleştirilen eylem |
action_error |
dize |
isteğe bağlı |
"İşlem" başarısız olursa hata iletisi |
threat_handled |
bool |
isteğe bağlı |
Algılamanın işlenip işlenmediğini gösterir |
need_restart |
bool |
isteğe bağlı |
Yeniden başlatmanın gerekip gerekmediğini gösterir |
username |
dize |
isteğe bağlı |
Olayla ilişkilendirilen kullanıcı hesabının adı |
processname |
dize |
isteğe bağlı |
Olayla ilişkilendirilen işlemin adı |
circumstances |
dize |
isteğe bağlı |
Olaya neyin neden olduğuna dair kısa açıklama |
hash |
dize |
isteğe bağlı |
(Algılama) veri akışının SHA1 karması. |
dize |
isteğe bağlı |
Algılamanın söz konusu makinede ilk kez bulunduğu tarih ve saat. ESET PROTECT On-Prem, firstseen niteliği için günlük çıktısı biçimine göre (JSON veya LEEF) farklı tarih-saat biçimleri (ve başka herhangi bir tarih-saat niteliği) kullanır: •JSON biçimi:"%d-%b-%Y %H:%M:%S" •LEEF biçimi:"%b %d %Y %H:%M:%S" |
Threat_Event JSON günlük örneği:
FirewallAggregated_Event
ESET Güvenlik Duvarı tarafından oluşturulan olay günlükleri ( Güvenlik Duvarı tespitleri) ESET Management Agent/ESET PROTECT Server çoğaltma işlemi sırasında bant genişliğinin harcanmasını önlemek için yöneten ESET Management Agent tarafından toplanır. Güvenlik Duvarı olayına özgü anahtar:
event |
dize |
isteğe bağlı |
Olay adı |
---|---|---|---|
source_address |
dize |
isteğe bağlı |
Olay kaynağının adresi |
source_address_type |
dize |
isteğe bağlı |
Olay kaynağının adres türü |
source_port |
numara |
isteğe bağlı |
Olay kaynağının bağlantı noktası |
target_address |
dize |
isteğe bağlı |
Olay hedefinin adresi |
target_address_type |
dize |
isteğe bağlı |
Olay hedefinin adres türü |
target_port |
numara |
isteğe bağlı |
Olay hedefinin bağlantı noktası |
protocol |
dize |
isteğe bağlı |
Protokol |
account |
dize |
isteğe bağlı |
Olayla ilişkilendirilen kullanıcı hesabının adı |
process_name |
dize |
isteğe bağlı |
Olayla ilişkilendirilen işlemin adı |
rule_name |
dize |
isteğe bağlı |
Kural adı |
rule_id |
dize |
isteğe bağlı |
Kural Kimliği |
inbound |
bool |
isteğe bağlı |
Bağlantının gelen bağlantı olup olmadığını gösterir |
threat_name |
dize |
isteğe bağlı |
Algılamanın adı |
aggregate_count |
numara |
isteğe bağlı |
ESET PROTECT Server ve yöneten ESET Management Agent arasında, ardışık iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı iletilerin sayısı |
action |
dize |
isteğe bağlı |
Gerçekleştirilen eylem |
handled |
dize |
isteğe bağlı |
Algılamanın işlenip işlenmediğini gösterir |
FirewallAggregated_Event JSON günlük örneği:
HIPSAggregated_Event
Host Tabanlı Saldırı Önleme Sistemi'ndeki (HIPS) olaylar ( HIPS tespitleri), Syslog mesajları olarak gönderilmeden önce önem derecesine göre filtrelenir. HIPS'e özgü öznitelikler aşağıdaki gibidir:
application |
dize |
isteğe bağlı |
Uygulama adı |
---|---|---|---|
operation |
dize |
isteğe bağlı |
İşlem |
target |
dize |
isteğe bağlı |
Hedef |
action |
dize |
isteğe bağlı |
Gerçekleştirilen eylem |
action_taken |
dize |
isteğe bağlı |
Endpoint tarafından gerçekleştirilen eylem |
rule_name |
dize |
isteğe bağlı |
Kural adı |
rule_id |
dize |
isteğe bağlı |
Kural Kimliği |
aggregate_count |
numara |
isteğe bağlı |
ESET PROTECT Server ve yöneten ESET Management Agent arasında, ardışık iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı iletilerin sayısı |
handled |
dize |
isteğe bağlı |
Algılamanın işlenip işlenmediğini gösterir |
HipsAggregated_Event JSON günlük örneği:
Audit_Event
ESET PROTECT On-Prem, dahili denetleme günlüğü mesajlarını Syslog'a yönlendirir. Özel öznitelikler aşağıdaki gibidir:
domain |
dize |
isteğe bağlı |
Denetleme günlüğü etki alanı |
---|---|---|---|
action |
dize |
isteğe bağlı |
Eylem gerçekleştiriliyor |
target |
dize |
isteğe bağlı |
Hedef eylem şurada çalıştırılıyor: |
detail |
dize |
isteğe bağlı |
Eylemin ayrıntılı açıklaması |
user |
dize |
isteğe bağlı |
Güvenlik kullanıcısı dahil |
result |
dize |
isteğe bağlı |
Eylemin sonucu |
FilteredWebsites_Event
ESET PROTECT On-Prem, filtrelenen web sitelerini (Web Koruması tespitleri) Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:
processname |
dize |
isteğe bağlı |
Olayla ilişkilendirilen işlemin adı |
username |
dize |
isteğe bağlı |
Olayla ilişkilendirilen kullanıcı hesabının adı |
hash |
dize |
isteğe bağlı |
Filtre uygulanmış nesnenin SHA1 hash'i |
event |
dize |
isteğe bağlı |
Olay türü |
rule_id |
dize |
isteğe bağlı |
Kural Kimliği |
action_taken |
dize |
isteğe bağlı |
Gerçekleştirilen eylem |
scanner_id |
dize |
isteğe bağlı |
Tarayıcı kimliği |
object_uri |
dize |
isteğe bağlı |
Nesne URI'sı |
target_address |
dize |
isteğe bağlı |
Olay hedefinin adresi |
target_address_type |
dize |
isteğe bağlı |
Olay hedefinin adres türü (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
dize |
isteğe bağlı |
Algılamanın işlenip işlenmediğini gösterir |
FilteredWebsites_Event JSON günlük örneği:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem, ESET Inspectalarmlarını Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:
processname |
dize |
isteğe bağlı |
Bu alarma neden olan işlemin adı |
---|---|---|---|
username |
dize |
isteğe bağlı |
İşlemin sahibi |
rulename |
dize |
isteğe bağlı |
Bu alarmı tetikleyen kuralın adı |
count |
numara |
isteğe bağlı |
Son alarmdan bu yana oluşturulan bu tür uyarıların sayısı |
hash |
dize |
isteğe bağlı |
Alarmın SHA1 hash'i |
eiconsolelink |
dize |
isteğe bağlı |
ESET Inspect On-Prem konsolundaki alarma bağlantı |
eialarmid |
dize |
isteğe bağlı |
Alarm bağlantısının kimlik alt bölümü (^http.*/alarm/([0-9]+)$ içindeki $1) |
computer_severity_score |
numara |
isteğe bağlı |
Bilgisayar önem derecesi puanı |
severity_score |
numara |
isteğe bağlı |
Kural önem derecesi puanı |
EnterpriseInspectorAlert_Event JSON günlük örneği:
BlockedFiles_Event
ESET PROTECT On-Prem, ESET Inspect On-Prem Engellenen Dosyalarını Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:
processname |
dize |
isteğe bağlı |
Olayla ilişkilendirilen işlemin adı |
username |
dize |
isteğe bağlı |
Olayla ilişkilendirilen kullanıcı hesabının adı |
hash |
dize |
isteğe bağlı |
Engellenen dosyanın SHA1 hash'i |
object_uri |
dize |
isteğe bağlı |
Nesne URI'sı |
action |
dize |
isteğe bağlı |
Gerçekleştirilen eylem |
firstseen |
dize |
isteğe bağlı |
Tespitin söz konusu makinede ilk kez bulunduğu saat ve tarih (tarih ve saat biçimi). |
cause |
dize |
isteğe bağlı |
|
description |
dize |
isteğe bağlı |
Engellenen dosyanın açıklaması |
handled |
dize |
isteğe bağlı |
Algılamanın işlenip işlenmediğini gösterir |