ESET-Onlinehilfe

Suche Deutsch
Wählen Sie eine Kategorie aus
Wählen Sie ein Thema aus

Export von Ereignissen im JSON-Format

JSON ist ein schlankes Format für den Austausch von Daten. Dieses Format verwendet eine Sammlung von Name-Wert-Paaren und eine geordnete Liste von Werten.

Exportierte Ereignisse

Dieser Abschnitt enthält Details zu Format und Bedeutung der Attribute aller exportierten Ereignisse. Die Ereignisnachricht wird als JSON-Objekt mit Pflicht- und optionalen Schlüsseln formatiert. Jedes exportierte Ereignis enthält den folgenden Schlüssel:

event_type

string

 

Typ der exportierten Ereignisse:

Threat_Event (icon_antivirusVirenschutz-Ereignisse)

FirewallAggregated_Event (icon_firewall Firewall-Ereignisse)

HipsAggregated_Event (icon_hips HIPS-Ereignisse)

Audit_Event (Audit-Log)

FilteredWebsites_Event (Gefilterte Websites –icon_web_protection Web-Schutz)

EnterpriseInspectorAlert_Event (icon_ei_alert ESET Inspect-Warnungen)

BlockedFiles_Event (icon_blocked Blockierte Dateien)

ipv4

string

optional

IPv4-Adresse des Computers, der das Ereignis generiert hat.

ipv6

string

optional

IPv6-Adresse des Computers, der das Ereignis generiert hat.

hostname

string

 

Hostname des Computers, der das Ereignis generiert hat.

source_uuid

string

 

UUID des Computers, der das Ereignis generiert hat.

occurred

string

 

UTC-Zeitpunkt, zu dem das Ereignis aufgetreten ist. Format: %d-%b-%Y %H:%M:%S

severity

string

 

Schweregrad des Ereignisses. Mögliche Werte (vom niedrigsten zum höchsten Schweregrad): Information, Hinweis, Warnung, Error, Kritisch, Schwerwiegend.

group_name

string

 

Der vollständige Pfad zur statischen Gruppe des Computers, der das Ereignis generiert hat. Wenn der Pfad länger als 255 Zeichen ist, enthält group_name nur den Namen der statischen Gruppe.

group_description

string

 

Beschreibung der statischen Gruppe.

os_name

string

 

Informationen zum Betriebssystem des Computers.


note

Alle unten aufgelisteten Ereignistypen mit allen Schweregraden werden an den Syslog-Server gemeldet. Um die an Syslog gesendeten Ereignis-Logs zu filtern, wählen Sie Eine Benachrichtigung für die Log-Kategorie erstellen mit einem definierten Filter.

Die gemeldeten Werte davon ab, welches ESET Sicherheitsprodukt (und welche Version) auf dem verwalteten Computer installiert ist. ESET PROTECT On-Prem meldet nur die empfangenen Daten. Daher kann ESET keine vollständige Liste der Werte zur Verfügung stellen. Wir empfehlen, ihr Netzwerk im Blick zu behalten und die Logs anhand der erhaltenen Werte zu filtern.

Benutzerdefinierte Schlüssel gemäß event_type:

Threat_Event

Alle von verwalteten Endpoints generierten icon_antivirusVirenschutz-Ereignisse werden an Syslog weitergeleitet. Spezifische Schlüssel für Ereignisse:

threat_type

string

optional

Ereignisart

threat_name

string

optional

Ereignisname

threat_flags

string

optional

Ereignisbezogene Flags

scanner_id

string

optional

Scanner-ID

scan_id

string

optional

Scan-ID

engine_version

string

optional

Version des Prüfmoduls

object_type

string

optional

Art des Objekts, auf sich das Ereignis bezieht

object_uri

string

optional

Objekt-URI

action_taken

string

optional

Auf dem Endpunkt ausgeführte Aktion

action_error

string

optional

Fehlermeldung, wenn die Aktion nicht erfolgreich war

threat_handled

bool

optional

Gibt an, ob das Ereignis verarbeitet wurde

need_restart

bool

optional

Gibt an, ob ein Neustart erforderlich ist

username

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

processname

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

circumstances

string

optional

Kurze Beschreibung der Ursache des Ereignisses

hash

string

optional

SHA1-Hash des Datenstroms (Ereignis).

firstseen

string

optional

Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer. Das von ESET PROTECT On-Prem verwendete Datums- und Zeitformat für das firstseen-Attribut (und andere Datums- und Uhrzeitattribute) hängt vom Log-Ausgabeformat ab (JSON oder LEEF):

JSON formatieren"%d-%b-%Y %H:%M:%S"

LEEF formatieren"%b %d %Y %H:%M:%S"

arrow_down_business „Threat_Event“-JSON-Log-Beispiel:

FirewallAggregated_Event

Die von ESET Firewall generierten Ereignis-Logs (icon_firewall Firewall-Ereignisse) werden von dem verwaltenden ESET Management Agent aggregiert, um die benötigte Bandbreite für die Replikation zwischen ESET Management Agent und ESET PROTECT Server zu reduzieren. Spezifische Schlüssel für Firewall-Ereignisse:

event

string

optional

Ereignisname

source_address

string

optional

Adresse der Ereignisquelle

source_address_type

string

optional

Art der Adresse der Ereignisquelle

source_port

Nummer

optional

Port der Ereignisquelle

target_address

string

optional

Adresse des Ereignisziels

target_address_type

string

optional

Art der Adresse des Ereignisziels

target_port

Nummer

optional

Port des Ereignisziels

protocol

string

optional

Protokoll

account

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

process_name

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

rule_name

string

optional

Regelname

rule_id

string

optional

Regel-ID

inbound

bool

optional

Gibt an, ob die Verbindung eingehend war

threat_name

string

optional

Ereignisname

aggregate_count

Nummer

optional

Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Server und verwaltendem ESET Management Agent generiert wurden

action

string

optional

Ausgeführte Aktion

handled

string

optional

Gibt an, ob das Ereignis verarbeitet wurde

arrow_down_business „FirewallAggregated_Event“-JSON-Log-Beispiel:

HIPSAggregated_Event

Ereignisse aus dem HIPS (Host-based Intrusion Prevention System) (icon_hips HIPS-Ereignisse) werden zunächst nach Schweregrad gefiltert und anschließend als Syslog-Nachrichten weitergeleitet. HIPS-spezifische Attribute:

application

string

optional

Anwendungsname

operation

string

optional

Vorgang

target

string

optional

Ziel

action

string

optional

Ausgeführte Aktion

action_taken

string

optional

Auf dem Endpunkt ausgeführte Aktion

rule_name

string

optional

Regelname

rule_id

string

optional

Regel-ID

aggregate_count

Nummer

optional

Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Server und verwaltendem ESET Management Agent generiert wurden

handled

string

optional

Gibt an, ob das Ereignis verarbeitet wurde

arrow_down_business „HipsAggregated_Event“-JSON-Log-Beispiel:

Audit_Event

ESET PROTECT On-Prem leitet die internen Audit-Log-Nachrichten an Syslog weiter. Spezifische Attribute:

domain

string

optional

Audit-Log-Domäne

action

string

optional

Ausgeführte Aktion

target

string

optional

Ziel der Aktion

detail

string

optional

Ausführliche Beschreibung der Aktion

user

string

optional

Beteiligter Sicherheitsbenutzer

result

string

optional

Resultat der Aktion

arrow_down_business „Audit_Event“-Log-Beispiel:

FilteredWebsites_Event

ESET PROTECT On-Prem leitet die gefilterten Websites (icon_web_protectionWeb-Schutz-Ereignisse) an Syslog weiter. Spezifische Attribute:

processname

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

username

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

hash

string

optional

SHA1-Hash des gefilterten Objekts

event

string

optional

Ereignistyp

rule_id

string

optional

Regel-ID

action_taken

string

optional

Ausgeführte Aktion

scanner_id

string

optional

Scanner-ID

object_uri

string

optional

Objekt-URI

target_address

string

optional

Adresse des Ereignisziels

target_address_type

string

optional

Art der Adresse des Ereignisziels (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

optional

Gibt an, ob das Ereignis verarbeitet wurde

arrow_down_business „FilteredWebsites_Event“-JSON-Log-Beispiel:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem leitet icon_ei_alertESET Inspect-Alarmmeldungen an Syslog weiter. Spezifische Attribute:

processname

string

optional

Name des Prozesses, der den Alarm ausgelöst hat

username

string

optional

Eigentümer des Prozesses

rulename

string

optional

Name der Regel, die den Alarm ausgelöst hat

count

Nummer

optional

Anzahl der Alarmmeldungen von diesem Typ seit dem letzten Alarm

hash

string

optional

SHA1-Hash des Alarms

eiconsolelink

string

optional

Link zum Alarm in der ESET Inspect On-Prem-Konsole

eialarmid

string

optional

ID-Komponente des Alarmlinks ($1 in ^http.*/alarm/([0-9]+)$)

computer_severity_score

Nummer

optional

Computer-Schweregradsbewertung

severity_score

Nummer

optional

Regel-Schweregradsbewertung

arrow_down_business „EnterpriseInspectorAlert_Event“-JSON-Log-Beispiel:

BlockedFiles_Event

ESET PROTECT On-Prem leitet von ESET Inspect On-Premicon_blocked blockierte Dateien an Syslog weiter. Spezifische Attribute:

processname

string

optional

Name des Prozesses, der mit dem Ereignis verknüpft ist

username

string

optional

Name des Benutzerkontos, das mit dem Ereignis verknüpft ist

hash

string

optional

SHA1-Hash der blockierten Datei

object_uri

string

optional

Objekt-URI

action

string

optional

Ausgeführte Aktion

firstseen

string

optional

Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer (Datums- und Uhrzeitformat).

cause

string

optional

 

description

string

optional

Beschreibung der blockierten Datei

handled

string

optional

Gibt an, ob das Ereignis verarbeitet wurde