Aide en ligne ESET

Rechercher Français
Sélectionner la catégorie
Sélectionner la rubrique

Événements exportés au format JSON

JSON est un format léger pour l'échange de données. Il repose sur un groupe de paires nom/valeur et une liste classée de valeurs.

Evénements exportés

Cette section contient des détails sur le format et la signification des attributs de tous les événements exportés. Le message d'événement prend la forme d'un objet JSON avec quelques clés obligatoires et facultatives. Chaque événement exporté contiendra la clé suivante :

event_type

chaine

 

Type d'événements exportés :

Threat_Event (icon_antivirusdétections de l'antivirus)

FirewallAggregated_Event (icon_firewall détections du pare-feu)

HipsAggregated_Event (icon_hips détections HIPS)

Audit_Event (journal de vérification)

FilteredWebsites_Event (sites Web filtrés : icon_web_protection protection Web)

EnterpriseInspectorAlert_Event (icon_ei_alert alertes ESET Inspect)

BlockedFiles_Event (icon_blocked fichiers bloqués)

ipv4

chaine

facultatif

Adresse IPv4 de l'ordinateur générant l'événement.

ipv6

chaine

facultatif

Adresse IPv6 de l'ordinateur générant l'événement.

hostname

chaine

 

Nom d'hôte de l'ordinateur générant l'événement.

source_uuid

chaine

 

UUID de l'ordinateur générant l'événement.

occurred

chaine

 

Heure UTC d'occurrence de l'événement. Le format est %d-%b-%Y %H:%M:%S

severity

chaine

 

Gravité de l'événement. Les valeurs possibles (du moins grave au plus grave) sont les suivantes : Information, Avis, Avertissement, Erreur, Critique, Fatal

group_name

chaine

 

Chemin complet vers le groupe statique de l'ordinateur qui génère l'événement. Si le chemin d’accès comporte plus de 255 caractères, group_name contient uniquement le nom du groupe statique.

group_description

chaine

 

Description du groupe statique.

os_name

chaine

 

Informations sur le système d’exploitation de l’ordinateur.


note

Tous les types d’événements énumérés ci-dessous avec tous les niveaux de gravité sont signalés au serveur Syslog. Pour filtrer les journaux d’événements envoyés à Syslog, créez une notification de catégorie de journal avec un filtre défini.

Les valeurs indiquées dépendent du produit de sécurité ESET (et de sa version) installé sur l’ordinateur géré et ESET PROTECT On-Prem ne signalent que les données reçues. Par conséquent, ESET ne peut pas fournir une liste exhaustive de toutes les valeurs. Nous vous recommandons de surveiller votre réseau et de filtrer les journaux en fonction des valeurs que vous recevez.

Clés personnalisées selon event_type :

Threat_Event

Tous les événements de icon_antivirusdétection antivirus générés par des terminaux gérés seront transférés à Syslog. Clé spécifique à un événement de détection :

threat_type

chaine

facultatif

Type de la détection

threat_name

chaine

facultatif

Nom de la détection

threat_flags

chaine

facultatif

Indicateurs liés à des détections

scanner_id

chaine

facultatif

ID d'analyseur

scan_id

chaine

facultatif

ID d'analyse

engine_version

chaine

facultatif

Version du moteur d'analyse

object_type

chaine

facultatif

Type d'objet lié à cet événement

object_uri

chaine

facultatif

URI de l’objet

action_taken

chaine

facultatif

Action prise par le point de terminaison

action_error

chaine

facultatif

Message d'erreur en cas d'échec de « l'action »

threat_handled

bool

facultatif

Indique si la détection a été gérée ou non

need_restart

bool

facultatif

Indique si un redémarrage est nécessaire ou non

username

chaine

facultatif

Nom du compte utilisateur associé à l'événement

processname

chaine

facultatif

Nom du processus associé à l'événement

circumstances

chaine

facultatif

Brève description de la cause de l'événement

hash

chaine

facultatif

Hachage SHA1 du flux de données (de détection).

firstseen

chaine

facultatif

Heure et date auxquelles la détection s'est produite pour la première fois sur cet ordinateur. ESET PROTECT On-Prem utilise différents formats date-heure pour l'attribut firstseen (et tout autre attribut date-heure) en fonction du format de sortie du journal (JSON ou LEEF) :

JSON format : "%d-%b-%Y %H:%M:%S"

LEEF format : "%b %d %Y %H:%M:%S"

arrow_down_business Exemple de journalisation de Threat_Event JSON :

FirewallAggregated_Event

Les journaux d'événements générés par le pare-feu d’ESET (icon_firewall détections du pare-feu) sont agrégés par la gestion de l'agent ESET Management pour éviter le gaspillage de bande passante pendant la réplication de l'agent ESET Management ou du serveur ESET PROTECT. Clé spécifique à un événement de pare-feu :

event

chaine

facultatif

Nom de l'événement

source_address

chaine

facultatif

Adresse de la source de l'événement

source_address_type

chaine

facultatif

Type d'adresse de la source de l'événement

source_port

number

facultatif

Port de la source de l'événement

target_address

chaine

facultatif

Adresse de la destination de l'événement

target_address_type

chaine

facultatif

Type d'adresse de la destination de l'événement

target_port

number

facultatif

Port de la destination de l'événement

protocol

chaine

facultatif

Protocole

account

chaine

facultatif

Nom du compte utilisateur associé à l'événement

process_name

chaine

facultatif

Nom du processus associé à l'événement

rule_name

chaine

facultatif

Nom de la règle

rule_id

chaine

facultatif

ID de règle

inbound

bool

facultatif

Indique si la connexion était entrante ou non

threat_name

chaine

facultatif

Nom de la détection

aggregate_count

number

facultatif

Nombre de messages identiques générés par le point de terminaison entre deux réplications consécutives entre le serveur ESET PROTECT et l'agent ESET Management de gestion

action

chaine

facultatif

Action entreprise

handled

chaine

facultatif

Indique si la détection a été gérée ou non

arrow_down_business Exemple de journalisation de FirewallAggregated_Event JSON :

HIPSAggregated_Event

Les événements du système HIPS (icon_hips détections HIPS) sont filtrés selon la gravité avant d'être transmis plus en avant en tant que messages Syslog. Les attributs spécifiques à HIPS sont les suivants :

application

chaine

facultatif

Nom de l’application

operation

chaine

facultatif

Opération

target

chaine

facultatif

Cible

action

chaine

facultatif

Action entreprise

action_taken

chaine

facultatif

Action prise par le point de terminaison

rule_name

chaine

facultatif

Nom de la règle

rule_id

chaine

facultatif

ID de règle

aggregate_count

number

facultatif

Nombre de messages identiques générés par le point de terminaison entre deux réplications consécutives entre le serveur ESET PROTECT et l'agent ESET Management de gestion

handled

chaine

facultatif

Indique si la détection a été gérée ou non

arrow_down_business Exemple de journalisation de HipsAggregated_Event JSONt :

Audit_Event

ESET PROTECT On-Prem transmet les messages du journal de vérification interne à Syslog. Les attributs spécifiques sont les suivants :

domain

chaine

facultatif

Domaine du journal d'audit

action

chaine

facultatif

Action en cours

target

chaine

facultatif

L'action cible s'effectue sur

detail

chaine

facultatif

Description détaillée de l'action

user

chaine

facultatif

Utilisateur de sécurité impliqué

result

chaine

facultatif

Résultat de l'action

arrow_down_business Exemple de journalisation de Audit_Event :

FilteredWebsites_Event

ESET PROTECT On-Prem transfère les sites Web filtrés (détections de la icon_web_protectionprotection Web) à Syslog. Les attributs spécifiques sont les suivants :

processname

chaine

facultatif

Nom du processus associé à l'événement

username

chaine

facultatif

Nom du compte utilisateur associé à l'événement

hash

chaine

facultatif

Hachage SHA1 de l'objet filtré

event

chaine

facultatif

Type de l'événement

rule_id

chaine

facultatif

ID de règle

action_taken

chaine

facultatif

Action entreprise

scanner_id

chaine

facultatif

ID d'analyseur

object_uri

chaine

facultatif

URI de l’objet

target_address

chaine

facultatif

Adresse de la destination de l'événement

target_address_type

chaine

facultatif

Type d'adresse de la destination de l'événement (25769803777 = IPv4; 25769803778 = IPv6)

handled

chaine

facultatif

Indique si la détection a été gérée ou non

arrow_down_business Exemple de journalisation de FilteredWebsites_Event JSON :

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem transfère les icon_ei_alert alarmes ESET Inspect à Syslog. Les attributs spécifiques sont les suivants :

processname

chaine

facultatif

Nom du processus à l'origine de cette alarme

username

chaine

facultatif

Propriétaire du processus

rulename

chaine

facultatif

Nom de la règle déclenchant cette alarme

count

number

facultatif

Nombre d'alertes de ce type générées depuis la dernière alarme

hash

chaine

facultatif

Hachage SHA1 de l'alarme

eiconsolelink

chaine

facultatif

Lien vers l'alarme dans la console ESET Inspect On-Prem

eialarmid

chaine

facultatif

Sous-partie ID du lien d'alarme ($1 dans ^http.*/alarm/([0-9]+)$)

computer_severity_score

number

facultatif

Score de gravité pour l’ordinateur

severity_score

number

facultatif

Score de sévérité de la règle

arrow_down_business Exemple de journalisation de EnterpriseInspectorAlert_Event JSON :

BlockedFiles_Event

ESET PROTECT On-Prem transfère les fichiers bloqués ESET Inspect On-Prem icon_blocked à Syslog. Les attributs spécifiques sont les suivants :

processname

chaine

facultatif

Nom du processus associé à l'événement

username

chaine

facultatif

Nom du compte utilisateur associé à l'événement

hash

chaine

facultatif

Hachage SHA1 du fichier bloqué

object_uri

chaine

facultatif

URI de l’objet

action

chaine

facultatif

Action entreprise

firstseen

chaine

facultatif

Heure et date auxquelles la détection s'est produite pour la première fois sur cet ordinateur format de la date et de l'heure.

cause

chaine

facultatif

 

description

chaine

facultatif

Description du fichier bloqué

handled

chaine

facultatif

Indique si la détection a été gérée ou non