Export von Ereignissen im JSON-Format
JSON ist ein schlankes Format für den Austausch von Daten. Dieses Format verwendet eine Sammlung von Name-Wert-Paaren und eine geordnete Liste von Werten.
Exportierte Ereignisse
Dieser Abschnitt enthält Details zu Format und Bedeutung der Attribute aller exportierten Ereignisse. Die Ereignisnachricht wird als JSON-Objekt mit Pflicht- und optionalen Schlüsseln formatiert. Jedes exportierte Ereignis enthält den folgenden Schlüssel:
event_type |
string |
|
Typ der exportierten Ereignisse: •Threat_Event (Virenschutz-Ereignisse) •FirewallAggregated_Event ( Firewall-Ereignisse) •HipsAggregated_Event ( HIPS-Ereignisse) •FilteredWebsites_Event (Gefilterte Websites – Web-Schutz) |
---|---|---|---|
ipv4 |
string |
optional |
IPv4-Adresse des Computers, der das Ereignis generiert hat. |
ipv6 |
string |
optional |
IPv6-Adresse des Computers, der das Ereignis generiert hat. |
hostname |
string |
|
Hostname des Computers, der das Ereignis generiert hat. |
source_uuid |
string |
|
UUID des Computers, der das Ereignis generiert hat. |
occurred |
string |
|
UTC-Zeitpunkt, zu dem das Ereignis aufgetreten ist. Format: %d-%b-%Y %H:%M:%S |
severity |
string |
|
Schweregrad des Ereignisses. Mögliche Werte (vom niedrigsten zum höchsten Schweregrad): Information, Hinweis, Warnung, Error, Kritisch, Schwerwiegend. |
group_name |
string |
|
Der vollständige Pfad zur statischen Gruppe des Computers, der das Ereignis generiert hat. Wenn der Pfad länger als 255 Zeichen ist, enthält group_name nur den Namen der statischen Gruppe. |
group_description |
string |
|
Beschreibung der statischen Gruppe. |
os_name |
string |
|
Informationen zum Betriebssystem des Computers. |
Alle unten aufgelisteten Ereignistypen mit allen Schweregraden werden an den Syslog-Server gemeldet. Um die an Syslog gesendeten Ereignis-Logs zu filtern, wählen Sie Eine Benachrichtigung für die Log-Kategorie erstellen mit einem definierten Filter. Die gemeldeten Werte davon ab, welches ESET Sicherheitsprodukt (und welche Version) auf dem verwalteten Computer installiert ist. ESET PROTECT On-Prem meldet nur die empfangenen Daten. Daher kann ESET keine vollständige Liste der Werte zur Verfügung stellen. Wir empfehlen, ihr Netzwerk im Blick zu behalten und die Logs anhand der erhaltenen Werte zu filtern. |
Benutzerdefinierte Schlüssel gemäß event_type:
Threat_Event
Alle von verwalteten Endpoints generierten Virenschutz-Ereignisse werden an Syslog weitergeleitet. Spezifische Schlüssel für Ereignisse:
threat_type |
string |
optional |
Ereignisart |
---|---|---|---|
threat_name |
string |
optional |
Ereignisname |
threat_flags |
string |
optional |
Ereignisbezogene Flags |
scanner_id |
string |
optional |
Scanner-ID |
scan_id |
string |
optional |
Scan-ID |
engine_version |
string |
optional |
Version des Prüfmoduls |
object_type |
string |
optional |
Art des Objekts, auf sich das Ereignis bezieht |
object_uri |
string |
optional |
Objekt-URI |
action_taken |
string |
optional |
Auf dem Endpunkt ausgeführte Aktion |
action_error |
string |
optional |
Fehlermeldung, wenn die Aktion nicht erfolgreich war |
threat_handled |
bool |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
need_restart |
bool |
optional |
Gibt an, ob ein Neustart erforderlich ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
circumstances |
string |
optional |
Kurze Beschreibung der Ursache des Ereignisses |
hash |
string |
optional |
SHA1-Hash des Datenstroms (Ereignis). |
string |
optional |
Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer. Das von ESET PROTECT On-Prem verwendete Datums- und Zeitformat für das firstseen-Attribut (und andere Datums- und Uhrzeitattribute) hängt vom Log-Ausgabeformat ab (JSON oder LEEF): •JSON formatieren"%d-%b-%Y %H:%M:%S" •LEEF formatieren"%b %d %Y %H:%M:%S" |
„Threat_Event“-JSON-Log-Beispiel:
FirewallAggregated_Event
Die von ESET Firewall generierten Ereignis-Logs ( Firewall-Ereignisse) werden von dem verwaltenden ESET Management Agent aggregiert, um die benötigte Bandbreite für die Replikation zwischen ESET Management Agent und ESET PROTECT Server zu reduzieren. Spezifische Schlüssel für Firewall-Ereignisse:
event |
string |
optional |
Ereignisname |
---|---|---|---|
source_address |
string |
optional |
Adresse der Ereignisquelle |
source_address_type |
string |
optional |
Art der Adresse der Ereignisquelle |
source_port |
Nummer |
optional |
Port der Ereignisquelle |
target_address |
string |
optional |
Adresse des Ereignisziels |
target_address_type |
string |
optional |
Art der Adresse des Ereignisziels |
target_port |
Nummer |
optional |
Port des Ereignisziels |
protocol |
string |
optional |
Protokoll |
account |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
process_name |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
rule_name |
string |
optional |
Regelname |
rule_id |
string |
optional |
Regel-ID |
inbound |
bool |
optional |
Gibt an, ob die Verbindung eingehend war |
threat_name |
string |
optional |
Ereignisname |
aggregate_count |
Nummer |
optional |
Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Server und verwaltendem ESET Management Agent generiert wurden |
action |
string |
optional |
Ausgeführte Aktion |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„FirewallAggregated_Event“-JSON-Log-Beispiel:
HIPSAggregated_Event
Ereignisse aus dem HIPS (Host-based Intrusion Prevention System) ( HIPS-Ereignisse) werden zunächst nach Schweregrad gefiltert und anschließend als Syslog-Nachrichten weitergeleitet. HIPS-spezifische Attribute:
application |
string |
optional |
Anwendungsname |
---|---|---|---|
operation |
string |
optional |
Vorgang |
target |
string |
optional |
Ziel |
action |
string |
optional |
Ausgeführte Aktion |
action_taken |
string |
optional |
Auf dem Endpunkt ausgeführte Aktion |
rule_name |
string |
optional |
Regelname |
rule_id |
string |
optional |
Regel-ID |
aggregate_count |
Nummer |
optional |
Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Server und verwaltendem ESET Management Agent generiert wurden |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„HipsAggregated_Event“-JSON-Log-Beispiel:
Audit_Event
ESET PROTECT On-Prem leitet die internen Audit-Log-Nachrichten an Syslog weiter. Spezifische Attribute:
domain |
string |
optional |
Audit-Log-Domäne |
---|---|---|---|
action |
string |
optional |
Ausgeführte Aktion |
target |
string |
optional |
Ziel der Aktion |
detail |
string |
optional |
Ausführliche Beschreibung der Aktion |
user |
string |
optional |
Beteiligter Sicherheitsbenutzer |
result |
string |
optional |
Resultat der Aktion |
FilteredWebsites_Event
ESET PROTECT On-Prem leitet die gefilterten Websites (Web-Schutz-Ereignisse) an Syslog weiter. Spezifische Attribute:
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
hash |
string |
optional |
SHA1-Hash des gefilterten Objekts |
event |
string |
optional |
Ereignistyp |
rule_id |
string |
optional |
Regel-ID |
action_taken |
string |
optional |
Ausgeführte Aktion |
scanner_id |
string |
optional |
Scanner-ID |
object_uri |
string |
optional |
Objekt-URI |
target_address |
string |
optional |
Adresse des Ereignisziels |
target_address_type |
string |
optional |
Art der Adresse des Ereignisziels (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„FilteredWebsites_Event“-JSON-Log-Beispiel:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem leitet ESET Inspect-Alarmmeldungen an Syslog weiter. Spezifische Attribute:
processname |
string |
optional |
Name des Prozesses, der den Alarm ausgelöst hat |
---|---|---|---|
username |
string |
optional |
Eigentümer des Prozesses |
rulename |
string |
optional |
Name der Regel, die den Alarm ausgelöst hat |
count |
Nummer |
optional |
Anzahl der Alarmmeldungen von diesem Typ seit dem letzten Alarm |
hash |
string |
optional |
SHA1-Hash des Alarms |
eiconsolelink |
string |
optional |
Link zum Alarm in der ESET Inspect On-Prem-Konsole |
eialarmid |
string |
optional |
ID-Komponente des Alarmlinks ($1 in ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
Nummer |
optional |
Computer-Schweregradsbewertung |
severity_score |
Nummer |
optional |
Regel-Schweregradsbewertung |
„EnterpriseInspectorAlert_Event“-JSON-Log-Beispiel:
BlockedFiles_Event
ESET PROTECT On-Prem leitet von ESET Inspect On-Prem blockierte Dateien an Syslog weiter. Spezifische Attribute:
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
hash |
string |
optional |
SHA1-Hash der blockierten Datei |
object_uri |
string |
optional |
Objekt-URI |
action |
string |
optional |
Ausgeführte Aktion |
firstseen |
string |
optional |
Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer (Datums- und Uhrzeitformat). |
cause |
string |
optional |
|
description |
string |
optional |
Beschreibung der blockierten Datei |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |