Eventos exportados a formato JSON
JSON en un formato ligero para el intercambio de datos. Se basa en la recopilación de pares de nombre/valor y una lista ordenada de valores.
Eventos exportados
Esta sección contiene detalles sobre el formato y el significado de los atributos de todos los eventos exportados. El mensaje del evento presenta el formato de un objeto JSON con algunas claves obligatorias y otras opcionales. Cada evento exportado contendrá la siguiente clave:
event_type |
cadena |
|
Tipo de eventos exportados: •Threat_Event (detecciones de Antivirus) •FirewallAggregated_Event (detecciones de Cortafuegos) •HipsAggregated_Event (detecciones de HIPS) •Audit_Event (registro de auditoría) •FilteredWebsites_Event web (sitios web filtrados: protección web) |
---|---|---|---|
ipv4 |
cadena |
opcional |
Dirección IPv4 del ordenador que genera el evento. |
ipv6 |
cadena |
opcional |
Dirección IPv6 del ordenador que genera el evento. |
hostname |
cadena |
|
Nombre de host del ordenador que genera el evento. |
source_uuid |
cadena |
|
UUID del ordenador que genera el evento. |
occurred |
cadena |
|
Hora UTC en la que el evento tuvo lugar. Tiene el formato %d-%b-%Y %H:%M:%S |
severity |
cadena |
|
Gravedad del evento. Los posibles valores (de menos grave a más grave) son: Información, Aviso, Advertencia, Error, Crítico y Fatal. |
group_name |
cadena |
|
La ruta completa al grupo estático del ordenador que genera el evento. Si la ruta de acceso tiene más de 255 caracteres, group_name solo contiene el nombre del grupo estático. |
group_description |
cadena |
|
Descripción del grupo estático. |
os_name |
cadena |
|
Información sobre el sistema operativo del ordenador. |
Todos los tipos de sucesos indicados a continuación con todos los niveles de gravedad se registran en el servidor de Syslog. Para filtrar los registros de sucesos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido. Los valores notificados dependen del producto de seguridad de ESET (y su versión) que se haya instalado en el ordenador administrado, y ESET PROTECT On-Prem solo informa de los datos recibidos. Por lo tanto, ESET no puede proporcionar una lista exhaustiva de todos los valores. Le recomendamos que compruebe su red y filtre los registros en función de los valores recibidos. |
Claves personalizadas según event_type:
Threat_Event
Todos los eventos de detección de Antivirus generados por equipos administrados se reenviarán a Syslog. Clave específica del evento de detección:
threat_type |
cadena |
opcional |
Tipo de detección |
---|---|---|---|
threat_name |
cadena |
opcional |
Nombre de la detección |
threat_flags |
cadena |
opcional |
Marcadores relacionados con la detección |
scanner_id |
cadena |
opcional |
ID del escáner |
scan_id |
cadena |
opcional |
ID del análisis |
engine_version |
cadena |
opcional |
Versión del motor de análisis |
object_type |
cadena |
opcional |
Tipo de objeto relacionado con este evento |
object_uri |
cadena |
opcional |
URL del objeto |
action_taken |
cadena |
opcional |
Acción realizada por el punto de acceso |
action_error |
cadena |
opcional |
Mensaje de error si la "acción" no se ha realizado correctamente |
threat_handled |
bool |
opcional |
Indica si la detección se gestionó o no |
need_restart |
bool |
opcional |
Indica si es necesario reiniciar o no |
username |
cadena |
opcional |
Nombre de la cuenta de usuario relacionada con el evento |
processname |
cadena |
opcional |
Nombre del proceso relacionado con el evento |
circumstances |
cadena |
opcional |
Breve descripción de la causa del evento |
hash |
cadena |
opcional |
Hash SHA1 de la secuencia de datos (detección). |
cadena |
opcional |
Hora y fecha en las que se detectó la detección por primera vez en ese equipo. ESET PROTECT On-Prem utiliza diferentes formatos de fecha y hora para el atributo firstseen (y para cualquier otro atributo de fecha y hora) dependiendo del formato de salida del registro (JSON o LEEF): •JSON formato:"%d-%b-%Y %H:%M:%S" •LEEF formato:"%b %d %Y %H:%M:%S" |
Ejemplo de registro JSON de Threat_Event:
FirewallAggregated_Event
Los registros de eventos generados por el cortafuegos de ESET (detecciones de Cortafuegos) los agrega la instancia de ESET Management Agent que administra para no desperdiciar ancho de banda durante la replicación de ESET Management Agent/ESET PROTECT Server. Clave específica del evento de cortafuegos:
event |
cadena |
opcional |
Nombre del evento |
---|---|---|---|
source_address |
cadena |
opcional |
Dirección del origen del evento |
source_address_type |
cadena |
opcional |
Tipo de dirección del origen del evento |
source_port |
número |
opcional |
Puerto del origen del evento |
target_address |
cadena |
opcional |
Dirección del destino del evento |
target_address_type |
cadena |
opcional |
Tipo de dirección del destino del evento |
target_port |
número |
opcional |
Puerto del destino del evento |
protocol |
cadena |
opcional |
Protocolo |
account |
cadena |
opcional |
Nombre de la cuenta de usuario relacionada con el evento |
process_name |
cadena |
opcional |
Nombre del proceso relacionado con el evento |
rule_name |
cadena |
opcional |
Nombre de la regla |
rule_id |
cadena |
opcional |
ID de la regla |
inbound |
bool |
opcional |
Indica si la conexión fue entrante o no |
threat_name |
cadena |
opcional |
Nombre de la detección |
aggregate_count |
número |
opcional |
El número de los mensajes exactamente iguales generados por el punto de acceso entre dos replicaciones consecutivas entre el ESET PROTECT Server y el ESET Management Agent encargado de la gestión. |
action |
cadena |
opcional |
Acción realizada |
handled |
cadena |
opcional |
Indica si la detección se gestionó o no |
Ejemplo de registro JSON de FirewallAggregated_Event:
HIPSAggregated_Event
Los eventos de HIPS (detecciones de HIPS) se filtran por Gravedad antes de enviarse de nuevo como mensajes de Syslog. Los atributos específicos del HIPS son los siguientes:
application |
cadena |
opcional |
Nombre de la aplicación |
---|---|---|---|
operation |
cadena |
opcional |
Operación |
target |
cadena |
opcional |
Destino |
action |
cadena |
opcional |
Acción realizada |
action_taken |
cadena |
opcional |
Acción realizada por el punto de acceso |
rule_name |
cadena |
opcional |
Nombre de la regla |
rule_id |
cadena |
opcional |
ID de la regla |
aggregate_count |
número |
opcional |
El número de los mensajes exactamente iguales generados por el punto de acceso entre dos replicaciones consecutivas entre el ESET PROTECT Server y el ESET Management Agent encargado de la gestión. |
handled |
cadena |
opcional |
Indica si la detección se gestionó o no |
Ejemplo de registro JSON de HipsAggregated_Event:
Audit_Event
ESET PROTECT On-Prem reenvía los mensajes del registro de auditoría interno a Syslog. Los atributos específicos son los siguientes:
domain |
cadena |
opcional |
Dominio del registro de auditoría |
---|---|---|---|
action |
cadena |
opcional |
Acción que se está realizando |
target |
cadena |
opcional |
Destino en el que se está realizando la acción |
detail |
cadena |
opcional |
Descripción detallada de la acción |
user |
cadena |
opcional |
Usuario de seguridad implicado |
result |
cadena |
opcional |
Resultado de la acción |
Ejemplo de registro de Audit_Event:
FilteredWebsites_Event
ESET PROTECT On-Prem reenvía los sitios web filtrados (detecciones de Protección web) a Syslog. Los atributos específicos son los siguientes:
processname |
cadena |
opcional |
Nombre del proceso relacionado con el evento |
username |
cadena |
opcional |
Nombre de la cuenta de usuario relacionada con el evento |
hash |
cadena |
opcional |
Hash SHA1 del objeto filtrado |
event |
cadena |
opcional |
Tipo de suceso |
rule_id |
cadena |
opcional |
ID de la regla |
action_taken |
cadena |
opcional |
Acción realizada |
scanner_id |
cadena |
opcional |
ID del escáner |
object_uri |
cadena |
opcional |
URL del objeto |
target_address |
cadena |
opcional |
Dirección del destino del evento |
target_address_type |
cadena |
opcional |
Tipo de dirección del destino del evento 25769803777 = IPv4; 25769803778 = IPv6) |
handled |
cadena |
opcional |
Indica si la detección se gestionó o no |
Ejemplo de registro JSON de FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem reenvía las alarmas de ESET Inspect al Syslog. Los atributos específicos son los siguientes:
processname |
cadena |
opcional |
Nombre del proceso que provoca esta alarma |
---|---|---|---|
username |
cadena |
opcional |
Propietario del proceso |
rulename |
cadena |
opcional |
Nombre de la regla que activa esta alarma |
count |
número |
opcional |
Número de alertas de este tipo generadas desde la última alerta |
hash |
cadena |
opcional |
Hash SHA1 de la alarma |
eiconsolelink |
cadena |
opcional |
Enlace a la alarma en la consola de ESET Inspect On-Prem |
eialarmid |
cadena |
opcional |
Subparte del identificador del vínculo de alarma ($1 en ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
número |
opcional |
Nivel de gravedad del ordenador |
severity_score |
número |
opcional |
Nivel de gravedad de la regla |
Ejemplo de registro JSON de EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT On-Prem reenvía los archivos bloqueados por ESET Inspect On-Prem a Syslog. Los atributos específicos son los siguientes:
processname |
cadena |
opcional |
Nombre del proceso relacionado con el evento |
username |
cadena |
opcional |
Nombre de la cuenta de usuario relacionada con el evento |
hash |
cadena |
opcional |
Hash SHA1 del archivo bloqueado |
object_uri |
cadena |
opcional |
URL del objeto |
action |
cadena |
opcional |
Acción realizada |
firstseen |
cadena |
opcional |
Hora y fecha en las que se detectó por primera vez en ese equipo (formato de fecha y hora). |
cause |
cadena |
opcional |
|
description |
cadena |
opcional |
Descripción del archivo bloqueado |
handled |
cadena |
opcional |
Indica si la detección se gestionó o no |