ESET Online nápověda

Hledat Čeština
Vyberte kategorii
Změnit kapitolu

Události exportované do JSON formátu

JSON (JavaScript Object Notation) je jednoduchý formát pro výměnu dat. Je založený na dvou datových strukturách: kolekce párů název-hodnota a seřazeném seznamu hodnot.

Exportované události

V této části uvádíme formát všech exportovaných událostí společně s popisem jednotlivých atributů. Zprávy událostí jsou reprezentovány JSON objektem, kdy některé části jsou povinné, jiné volitelné. Každá exportovaná událost bude obsahovat tyto atributy:

event_type

řetězec

 

Typ exportované události:

Threat_Event (icon_antivirus Detekce antivirem)

FirewallAggregated_Event (icon_firewall Detekce firewallem)

HipsAggregated_Event (icon_hips Detekce HIPS)

Audit_Event (Audit log)

FilteredWebsites_Event (Filtrované webové stránky – icon_web_protection Webová ochrana)

EnterpriseInspectorAlert_Event (icon_ei_alert ESET Inspect upozornění)

BlockedFiles_Event (icon_blocked Blokované soubory)

ipv4

řetězec

volitelné

IPv4 adresa počítače, který vygeneroval událost

ipv6

řetězec

volitelné

IPv6 adresa počítače, který vygeneroval událost

hostname

řetězec

 

Název počítače, který vygeneroval událost

source_uuid

řetězec

 

UUID počítače, který vygeneroval událost

occurred

řetězec

 

Čas v UTC formátu, kdy událost vznikla. Formát: %d-%b-%Y %H:%M:%S

severity

řetězec

 

Závažnost události. Možné hodnoty (seřazeno od málo kritických po nejzávažnější): Informační, Oznámení, Varování, Chyba, Kritické, Mimořádné.

group_name

řetězec

 

Statická skupina, ve které se nachází počítač, který vygeneroval událost. Pokud je cesta delší než 255 znaků, bude obsahovat group_name pouze název statické skupiny.

group_description

řetězec

 

Popis statické skupiny.

os_name

řetězec

 

Informace o operačním systému počítače.


note

Na Syslog Server se zasílají při všech úrovních závažnosti a všechny níže uvedené události: Pokud chcete na Syslog server zasílat pouze některé události, vytvořit si oznámení s vámi požadovaným filtrem.

Reportované hodnoty závisí na nainstalovaném bezpečnostním produktu ESET (a jeho verzi) na spravovaném zařízení, ESET PROTECT On-Prem pouze reportuje obdržená data. Z tohoto důvodu společnost ESET nemůže poskytnout úplný seznam všech hodnot. Doporučujeme sledovat síť a filtrovat protokoly na základě obdržených hodnot.

Vlastní klíče související s event_type:

Threat_Event

Na Syslog server se zasílají všechny icon_antivirus Detekce antivirem ze spravovaných koncových stanic. Záznam o detekci vypadá následovně:

threat_type

řetězec

volitelné

Typ detekce

threat_name

řetězec

volitelné

Název detekce

threat_flags

řetězec

volitelné

Štítek související s detekcí

scanner_id

řetězec

volitelné

ID skeneru

scan_id

řetězec

volitelné

ID kontroly

engine_version

řetězec

volitelné

Verze skenovacího jádra

object_type

řetězec

volitelné

Typ objektu související s touto událostí

object_uri

řetězec

volitelné

URI objektu

action_taken

řetězec

volitelné

Provedená akce s objektem

action_error

řetězec

volitelné

Chybová zpráva v případě, že se "akci" nepodařilo úspěšně provést

threat_handled

bool

volitelné

Informace o tom, zda byla detekce vyřešena

need_restart

bool

volitelné

Informace, zda je vyžadován restart

username

řetězec

volitelné

Název uživatelského účtu spojeného s touto událostí

processname

řetězec

volitelné

Název procesu spojeného s touto událostí

circumstances

řetězec

volitelné

Krátký popis s informací, co způsobilo událost

hash

řetězec

volitelné

SHA1 kontrolní součet (detekce) data streamu.

firstseen

řetězec

volitelné

Datum a čas první detekce na zařízení. V závislosti na výstupním formátu (JSON nebo LEEF) generuje ESET PROTECT On-Prem firstseenatribut (a další atributy související s časem) v odlišném tvaru:

JSON formát: "%d-%b-%Y %H:%M:%S"

LEEF formát: "%b %d %Y %H:%M:%S"

arrow_down_business Příklad Threat_Event JSON protokolu:

FirewallAggregated_Event

Protokoly událostí, které vygeneruje ESET Firewall (icon_firewall Detekce firewallem), sesbírá ESET Management agent za účelem snížení množství přenášených dat během replikace ESET Management agenta / ESET PROTECT serveru. Záznam o událostech firewallu vypadá následovně:

event

řetězec

volitelné

Název události

source_address

řetězec

volitelné

Adresa zdroje události

source_address_type

řetězec

volitelné

Typ adresy zdroje události

source_port

číslo

volitelné

Port zdroje události

target_address

řetězec

volitelné

Adresa cíle události

target_address_type

řetězec

volitelné

Typ adresy cíle události

target_port

číslo

volitelné

Port cíle události

protocol

řetězec

volitelné

Protokol

account

řetězec

volitelné

Název uživatelského účtu spojeného s touto událostí

process_name

řetězec

volitelné

Název procesu spojeného s touto událostí

rule_name

řetězec

volitelné

Název pravidla

rule_id

řetězec

volitelné

ID pravidla

inbound

bool

volitelné

Informace, zda se jednalo o příchozí spojení

threat_name

řetězec

volitelné

Název detekce

aggregate_count

číslo

volitelné

Počet, který udává, kolik stejných zpráv vygenerovalo bezpečnostní řešení na stanici mezi dvěma po sobě jdoucími replikacemi spravujícího ESET Management agenta a ESET PROTECT Serverem.

action

řetězec

volitelné

Akce

handled

řetězec

volitelné

Informace o tom, zda byla detekce vyřešena

arrow_down_business Příklad FirewallAggregated_Event JSON protokolu:

HIPSAggregated_Event

Před odesláním událostí na syslog server jsou zprávy z modulu HIPS (icon_hips Detekce HIPS) nejprve filtrovány podle nastavené závažnosti. Záznam o událostech modulu HIPS vypadá následovně:

application

řetězec

volitelné

Název aplikace

operation

řetězec

volitelné

Operace

target

řetězec

volitelné

Cíl

action

řetězec

volitelné

Akce

action_taken

řetězec

volitelné

Provedená akce s objektem

rule_name

řetězec

volitelné

Název pravidla

rule_id

řetězec

volitelné

ID pravidla

aggregate_count

číslo

volitelné

Počet, který udává, kolik stejných zpráv vygenerovalo bezpečnostní řešení na stanici mezi dvěma po sobě jdoucími replikacemi spravujícího ESET Management agenta a ESET PROTECT Serverem.

handled

řetězec

volitelné

Informace o tom, zda byla detekce vyřešena

arrow_down_business Příklad HipsAggregated_Event JSON protokolu:

Audit_Event

ESET PROTECT On-Prem přeposílá na Syslog interní audit log. Záznam o událostech vypadá následovně:

domain

řetězec

volitelné

Doména

action

řetězec

volitelné

Akce

target

řetězec

volitelné

Cíl, nad kterým je akce prováděna

detail

řetězec

volitelné

Detailní popis akce

user

řetězec

volitelné

Uživatel, který akci provádí

result

řetězec

volitelné

Výsledek akce

arrow_down_business Příklad Audit_Event protokolu:

FilteredWebsites_Event

ESET PROTECT On-Prem přeposílá seznam filtrovaných webových stránek (icon_web_protection Detekce webové ochrany) na Syslog. Záznam o událostech vypadá následovně:

processname

řetězec

volitelné

Název procesu spojeného s touto událostí

username

řetězec

volitelné

Název uživatelského účtu spojeného s touto událostí

hash

řetězec

volitelné

SHA1 hash filtrovaného objektu

event

řetězec

volitelné

Typ události

rule_id

řetězec

volitelné

ID pravidla

action_taken

řetězec

volitelné

Akce

scanner_id

řetězec

volitelné

ID skeneru

object_uri

řetězec

volitelné

URI objektu

target_address

řetězec

volitelné

Adresa cíle události

target_address_type

řetězec

volitelné

Typ adresy cíle události (25769803777 = IPv4; 25769803778 = IPv6)

handled

řetězec

volitelné

Informace o tom, zda byla detekce vyřešena

arrow_down_business Příklad FilteredWebsites_Event JSON protokolu:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem přeposílá icon_ei_alertESET Inspect upozornění na Syslog. Záznam o událostech vypadá následovně:

processname

řetězec

volitelné

Název procesu, který způsobil tento alarm

username

řetězec

volitelné

Vlastník procesu

rulename

řetězec

volitelné

Název pravidla, které aktivovalo tento alarm

count

číslo

volitelné

Počet oznámení, vygenerovaných tímto typem, od posledního alarmu

hash

řetězec

volitelné

SHA1 hash alarmu

eiconsolelink

řetězec

volitelné

Odkaz na alarm do ESET Inspect On-Prem konzole

eialarmid

řetězec

volitelné

ID části odkazu alarmu ($1 v ^http.*/alarm/([0-9]+)$)

computer_severity_score

číslo

volitelné

Úroveň závažnosti počítače

severity_score

číslo

volitelné

Skóre závažnosti pravidla

arrow_down_business Příklad EnterpriseInspectorAlert_Event JSON protokolu:

BlockedFiles_Event

ESET PROTECT On-Prem přeposílá icon_blocked blokované soubory pomocí ESET Inspect On-Prem na Syslog. Záznam o událostech vypadá následovně:

processname

řetězec

volitelné

Název procesu spojeného s touto událostí

username

řetězec

volitelné

Název uživatelského účtu spojeného s touto událostí

hash

řetězec

volitelné

SHA1 hash blokovaného souboru

object_uri

řetězec

volitelné

URI objektu

action

řetězec

volitelné

Akce

firstseen

řetězec

volitelné

Datum a čas první detekce na zařízení (formát data a času).

cause

řetězec

volitelné

 

description

řetězec

volitelné

Popis blokovaného souboru

handled

řetězec

volitelné

Informace o tom, zda byla detekce vyřešena