Události exportované do JSON formátu
JSON (JavaScript Object Notation) je jednoduchý formát pro výměnu dat. Je založený na dvou datových strukturách: kolekce párů název-hodnota a seřazeném seznamu hodnot.
Exportované události
V této části uvádíme formát všech exportovaných událostí společně s popisem jednotlivých atributů. Zprávy událostí jsou reprezentovány JSON objektem, kdy některé části jsou povinné, jiné volitelné. Každá exportovaná událost bude obsahovat tyto atributy:
event_type |
řetězec |
|
Typ exportované události: •Threat_Event ( Detekce antivirem) •FirewallAggregated_Event ( Detekce firewallem) •HipsAggregated_Event ( Detekce HIPS) •FilteredWebsites_Event (Filtrované webové stránky – Webová ochrana) |
---|---|---|---|
ipv4 |
řetězec |
volitelné |
IPv4 adresa počítače, který vygeneroval událost |
ipv6 |
řetězec |
volitelné |
IPv6 adresa počítače, který vygeneroval událost |
hostname |
řetězec |
|
Název počítače, který vygeneroval událost |
source_uuid |
řetězec |
|
UUID počítače, který vygeneroval událost |
occurred |
řetězec |
|
Čas v UTC formátu, kdy událost vznikla. Formát: %d-%b-%Y %H:%M:%S |
severity |
řetězec |
|
Závažnost události. Možné hodnoty (seřazeno od málo kritických po nejzávažnější): Informační, Oznámení, Varování, Chyba, Kritické, Mimořádné. |
group_name |
řetězec |
|
Statická skupina, ve které se nachází počítač, který vygeneroval událost. Pokud je cesta delší než 255 znaků, bude obsahovat group_name pouze název statické skupiny. |
group_description |
řetězec |
|
Popis statické skupiny. |
os_name |
řetězec |
|
Informace o operačním systému počítače. |
Na Syslog Server se zasílají při všech úrovních závažnosti a všechny níže uvedené události: Pokud chcete na Syslog server zasílat pouze některé události, vytvořit si oznámení s vámi požadovaným filtrem. Reportované hodnoty závisí na nainstalovaném bezpečnostním produktu ESET (a jeho verzi) na spravovaném zařízení, ESET PROTECT On-Prem pouze reportuje obdržená data. Z tohoto důvodu společnost ESET nemůže poskytnout úplný seznam všech hodnot. Doporučujeme sledovat síť a filtrovat protokoly na základě obdržených hodnot. |
Vlastní klíče související s event_type:
Threat_Event
Na Syslog server se zasílají všechny Detekce antivirem ze spravovaných koncových stanic. Záznam o detekci vypadá následovně:
threat_type |
řetězec |
volitelné |
Typ detekce |
---|---|---|---|
threat_name |
řetězec |
volitelné |
Název detekce |
threat_flags |
řetězec |
volitelné |
Štítek související s detekcí |
scanner_id |
řetězec |
volitelné |
ID skeneru |
scan_id |
řetězec |
volitelné |
ID kontroly |
engine_version |
řetězec |
volitelné |
Verze skenovacího jádra |
object_type |
řetězec |
volitelné |
Typ objektu související s touto událostí |
object_uri |
řetězec |
volitelné |
URI objektu |
action_taken |
řetězec |
volitelné |
Provedená akce s objektem |
action_error |
řetězec |
volitelné |
Chybová zpráva v případě, že se "akci" nepodařilo úspěšně provést |
threat_handled |
bool |
volitelné |
Informace o tom, zda byla detekce vyřešena |
need_restart |
bool |
volitelné |
Informace, zda je vyžadován restart |
username |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
processname |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
circumstances |
řetězec |
volitelné |
Krátký popis s informací, co způsobilo událost |
hash |
řetězec |
volitelné |
SHA1 kontrolní součet (detekce) data streamu. |
řetězec |
volitelné |
Datum a čas první detekce na zařízení. V závislosti na výstupním formátu (JSON nebo LEEF) generuje ESET PROTECT On-Prem firstseenatribut (a další atributy související s časem) v odlišném tvaru: •JSON formát: "%d-%b-%Y %H:%M:%S" •LEEF formát: "%b %d %Y %H:%M:%S" |
Příklad Threat_Event JSON protokolu:
FirewallAggregated_Event
Protokoly událostí, které vygeneruje ESET Firewall ( Detekce firewallem), sesbírá ESET Management agent za účelem snížení množství přenášených dat během replikace ESET Management agenta / ESET PROTECT serveru. Záznam o událostech firewallu vypadá následovně:
event |
řetězec |
volitelné |
Název události |
---|---|---|---|
source_address |
řetězec |
volitelné |
Adresa zdroje události |
source_address_type |
řetězec |
volitelné |
Typ adresy zdroje události |
source_port |
číslo |
volitelné |
Port zdroje události |
target_address |
řetězec |
volitelné |
Adresa cíle události |
target_address_type |
řetězec |
volitelné |
Typ adresy cíle události |
target_port |
číslo |
volitelné |
Port cíle události |
protocol |
řetězec |
volitelné |
Protokol |
account |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
process_name |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
rule_name |
řetězec |
volitelné |
Název pravidla |
rule_id |
řetězec |
volitelné |
ID pravidla |
inbound |
bool |
volitelné |
Informace, zda se jednalo o příchozí spojení |
threat_name |
řetězec |
volitelné |
Název detekce |
aggregate_count |
číslo |
volitelné |
Počet, který udává, kolik stejných zpráv vygenerovalo bezpečnostní řešení na stanici mezi dvěma po sobě jdoucími replikacemi spravujícího ESET Management agenta a ESET PROTECT Serverem. |
action |
řetězec |
volitelné |
Akce |
handled |
řetězec |
volitelné |
Informace o tom, zda byla detekce vyřešena |
Příklad FirewallAggregated_Event JSON protokolu:
HIPSAggregated_Event
Před odesláním událostí na syslog server jsou zprávy z modulu HIPS ( Detekce HIPS) nejprve filtrovány podle nastavené závažnosti. Záznam o událostech modulu HIPS vypadá následovně:
application |
řetězec |
volitelné |
Název aplikace |
---|---|---|---|
operation |
řetězec |
volitelné |
Operace |
target |
řetězec |
volitelné |
Cíl |
action |
řetězec |
volitelné |
Akce |
action_taken |
řetězec |
volitelné |
Provedená akce s objektem |
rule_name |
řetězec |
volitelné |
Název pravidla |
rule_id |
řetězec |
volitelné |
ID pravidla |
aggregate_count |
číslo |
volitelné |
Počet, který udává, kolik stejných zpráv vygenerovalo bezpečnostní řešení na stanici mezi dvěma po sobě jdoucími replikacemi spravujícího ESET Management agenta a ESET PROTECT Serverem. |
handled |
řetězec |
volitelné |
Informace o tom, zda byla detekce vyřešena |
Příklad HipsAggregated_Event JSON protokolu:
Audit_Event
ESET PROTECT On-Prem přeposílá na Syslog interní audit log. Záznam o událostech vypadá následovně:
domain |
řetězec |
volitelné |
Doména |
---|---|---|---|
action |
řetězec |
volitelné |
Akce |
target |
řetězec |
volitelné |
Cíl, nad kterým je akce prováděna |
detail |
řetězec |
volitelné |
Detailní popis akce |
user |
řetězec |
volitelné |
Uživatel, který akci provádí |
result |
řetězec |
volitelné |
Výsledek akce |
Příklad Audit_Event protokolu:
FilteredWebsites_Event
ESET PROTECT On-Prem přeposílá seznam filtrovaných webových stránek ( Detekce webové ochrany) na Syslog. Záznam o událostech vypadá následovně:
processname |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
username |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
hash |
řetězec |
volitelné |
SHA1 hash filtrovaného objektu |
event |
řetězec |
volitelné |
Typ události |
rule_id |
řetězec |
volitelné |
ID pravidla |
action_taken |
řetězec |
volitelné |
Akce |
scanner_id |
řetězec |
volitelné |
ID skeneru |
object_uri |
řetězec |
volitelné |
URI objektu |
target_address |
řetězec |
volitelné |
Adresa cíle události |
target_address_type |
řetězec |
volitelné |
Typ adresy cíle události (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
řetězec |
volitelné |
Informace o tom, zda byla detekce vyřešena |
Příklad FilteredWebsites_Event JSON protokolu:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem přeposílá ESET Inspect upozornění na Syslog. Záznam o událostech vypadá následovně:
processname |
řetězec |
volitelné |
Název procesu, který způsobil tento alarm |
---|---|---|---|
username |
řetězec |
volitelné |
Vlastník procesu |
rulename |
řetězec |
volitelné |
Název pravidla, které aktivovalo tento alarm |
count |
číslo |
volitelné |
Počet oznámení, vygenerovaných tímto typem, od posledního alarmu |
hash |
řetězec |
volitelné |
SHA1 hash alarmu |
eiconsolelink |
řetězec |
volitelné |
Odkaz na alarm do ESET Inspect On-Prem konzole |
eialarmid |
řetězec |
volitelné |
ID části odkazu alarmu ($1 v ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
číslo |
volitelné |
Úroveň závažnosti počítače |
severity_score |
číslo |
volitelné |
Skóre závažnosti pravidla |
Příklad EnterpriseInspectorAlert_Event JSON protokolu:
BlockedFiles_Event
ESET PROTECT On-Prem přeposílá blokované soubory pomocí ESET Inspect On-Prem na Syslog. Záznam o událostech vypadá následovně:
processname |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
username |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
hash |
řetězec |
volitelné |
SHA1 hash blokovaného souboru |
object_uri |
řetězec |
volitelné |
URI objektu |
action |
řetězec |
volitelné |
Akce |
firstseen |
řetězec |
volitelné |
Datum a čas první detekce na zařízení (formát data a času). |
cause |
řetězec |
volitelné |
|
description |
řetězec |
volitelné |
Popis blokovaného souboru |
handled |
řetězec |
volitelné |
Informace o tom, zda byla detekce vyřešena |