Eventi esportati in formato JSON
JSON è un formato leggero per lo scambio di dati. È sviluppato su una raccolta di coppie di nomi/valori e su un elenco ordinato di valori.
Eventi esportati
Questa sezione contiene informazioni dettagliate sul formato e sul significato degli attributi di tutti gli eventi esportati. I messaggi relativi agli eventi si presentano sotto forma di oggetto JSON con alcune chiavi obbligatorie e alcune chiavi facoltative. Ciascun evento esportato conterrà la seguente chiave:
event_type |
stringa |
|
Tipo di eventi esportati: •Threat_Event (rilevamenti antivirus) •FirewallAggregated_Event ( rilevamenti firewall) •HipsAggregated_Event ( rilevamenti HIPS) •Evento_controllo (Rapporto di controllo) •FilteredWebsites_Event ( siti web filtrati: protezione web) •EnterpriseInspectorAlert_Event ( avvisi ESET Inspect) |
---|---|---|---|
ipv4 |
stringa |
facoltativo |
Indirizzo IPv4 del computer che genera l'evento. |
ipv6 |
stringa |
facoltativo |
Indirizzo IPv6 del computer che genera l'evento. |
hostname |
stringa |
|
Nome host del computer che genera l'evento. |
source_uuid |
stringa |
|
UUID del computer che genera l'evento. |
occurred |
stringa |
|
Ora UTC di occorrenza dell'evento. Il formato è %d-%b-%Y %H:%M:%S |
severity |
stringa |
|
Gravità dell'evento. I valori possibili (dal meno grave al più grave) sono: Informazioni, Avviso, Avvertenza, Errore, Critico, Irreversibile. |
group_name |
stringa |
|
Percorso completo del gruppo statico del computer che genera l’evento. Se il percorso è più lungo di 255 caratteri, group_name contiene solo il nome del gruppo statico. |
group_description |
stringa |
|
Descrizione del gruppo statico. |
os_name |
stringa |
|
Informazioni sul sistema operativo del computer. |
Tutti i tipi di eventi elencati di seguito con tutti i livelli di gravità vengono segnalati al server Syslog. Per filtrare i rapporti degli eventi inviati a Syslog, creare una notifica della categoria di rapporti con un filtro definito. I valori segnalati dipendono dal prodotto di protezione ESET (e dalla relativa versione) installato sul computer gestito e ESET PROTECT On-Prem segnala solo i dati ricevuti. Di conseguenza, ESET non può fornire un elenco esaustivo di tutti i valori. Si consiglia di osservare la rete in uso e di filtrare i rapporti in base ai valori ricevuti. |
Chiavi personalizzate in base a event_type:
Threat_Event
Tutti gli eventi dei rilevamenti Antivirus generati dagli endpoint gestiti saranno inoltrati a Syslog. Chiave specifica evento rilevamento:
threat_type |
stringa |
facoltativo |
Tipo di rilevamento |
---|---|---|---|
threat_name |
stringa |
facoltativo |
Nome del rilevamento |
threat_flags |
stringa |
facoltativo |
Contrassegni correlati al rilevamento |
scanner_id |
stringa |
facoltativo |
ID scanner |
scan_id |
stringa |
facoltativo |
ID controllo |
engine_version |
stringa |
facoltativo |
Versione del motore di controllo |
object_type |
stringa |
facoltativo |
Tipo di oggetto correlato a questo evento |
object_uri |
stringa |
facoltativo |
URI oggetto |
action_taken |
stringa |
facoltativo |
Azione intrapresa dall'endpoint |
action_error |
stringa |
facoltativo |
Messaggio di errore se l’“azione” non è stata eseguita correttamente |
threat_handled |
bool |
facoltativo |
Indica l'eventuale gestione del rilevamento |
need_restart |
bool |
facoltativo |
Indica l'eventuale necessità di un riavvio |
username |
stringa |
facoltativo |
Nome dell'account utente associato all'evento |
processname |
stringa |
facoltativo |
Nome del processo associato all'evento |
circumstances |
stringa |
facoltativo |
Breve descrizione della causa dell'evento |
hash |
stringa |
facoltativo |
Hash SHA1 del flusso di dati (rilevamento). |
stringa |
facoltativo |
Data e ora del primo rilevamento trovato su tale macchina. ESET PROTECT On-Prem utilizza formati di data e ora differenti per l’attributo firstseen (e qualsiasi altro attributo data/ora) a seconda del formato del rapporto generato (JSON o LEEF): •JSON formato:"%d-%b-%Y %H:%M:%S" •LEEF formato:"%b %d %Y %H:%M:%S" |
Esempio di rapporto JSON Threat_Event:
FirewallAggregated_Event
I rapporti degli eventi generati da ESET Firewall ( rilevamenti firewall) sono aggregati dall’istanza di ESET Management Agent di gestione al fine di evitare un utilizzo non necessario della larghezza di banda durante la replica di ESET Management Agent/ESET PROTECT Server. Chiave specifica evento firewall:
event |
stringa |
facoltativo |
Nome evento |
---|---|---|---|
source_address |
stringa |
facoltativo |
Indirizzo dell'origine dell'evento |
source_address_type |
stringa |
facoltativo |
Tipo di indirizzo dell'origine dell'evento |
source_port |
numero |
facoltativo |
Porta dell'origine dell'evento |
target_address |
stringa |
facoltativo |
Indirizzo della destinazione dell'evento |
target_address_type |
stringa |
facoltativo |
Tipo di indirizzo della destinazione dell'evento |
target_port |
numero |
facoltativo |
Porta della destinazione dell'evento |
protocol |
stringa |
facoltativo |
Protocollo |
account |
stringa |
facoltativo |
Nome dell'account utente associato all'evento |
process_name |
stringa |
facoltativo |
Nome del processo associato all'evento |
rule_name |
stringa |
facoltativo |
Nome regola |
rule_id |
stringa |
facoltativo |
ID regola |
inbound |
bool |
facoltativo |
Specifica se la connessione era o meno in entrata |
threat_name |
stringa |
facoltativo |
Nome del rilevamento |
aggregate_count |
numero |
facoltativo |
Numero esatto di messaggi uguali generati dall'endpoint tra due repliche consecutive tra il server ESET PROTECT e l'agente ESET Management di gestione |
action |
stringa |
facoltativo |
Azione intrapresa |
handled |
stringa |
facoltativo |
Indica l'eventuale gestione del rilevamento |
Esempio di rapporto JSON FirewallAggregated_Event:
HIPSAggregated_Event
Gli eventi provenienti dal sistema anti-intrusione basato su host (“Host-based Intrusion Prevention System”, HIPS) ( rilevamenti HIPS) sono filtrati in base al livello di gravità prima di essere inoltrati come messaggi Syslog. Gli attributi specifici dell'HIPS sono i seguenti:
application |
stringa |
facoltativo |
Nome applicazione |
---|---|---|---|
operation |
stringa |
facoltativo |
Operazione |
target |
stringa |
facoltativo |
Destinazione |
action |
stringa |
facoltativo |
Azione intrapresa |
action_taken |
stringa |
facoltativo |
Azione intrapresa dall'endpoint |
rule_name |
stringa |
facoltativo |
Nome regola |
rule_id |
stringa |
facoltativo |
ID regola |
aggregate_count |
numero |
facoltativo |
Numero esatto di messaggi uguali generati dall'endpoint tra due repliche consecutive tra il server ESET PROTECT e l'agente ESET Management di gestione |
handled |
stringa |
facoltativo |
Indica l'eventuale gestione del rilevamento |
Esempio di rapporto JSON HipsAggregated_Event:
Audit_Event
ESET PROTECT On-Prem inoltra i messaggi dei rapporti di controllo interni a Syslog. Gli attributi specifici sono i seguenti:
domain |
stringa |
facoltativo |
Dominio del rapporto di audit |
---|---|---|---|
action |
stringa |
facoltativo |
Azione che viene eseguita |
target |
stringa |
facoltativo |
Destinazione sulla quale è attiva l'azione |
detail |
stringa |
facoltativo |
Descrizione dettagliata dell'azione |
user |
stringa |
facoltativo |
Utente coinvolto |
result |
stringa |
facoltativo |
Risultato dell'azione |
Esempio di rapporto Audit_Event:
FilteredWebsites_Event
ESET PROTECT On-Prem inoltra i siti web filtrati (rilevamenti di Web Protection) a Syslog. Gli attributi specifici sono i seguenti:
processname |
stringa |
facoltativo |
Nome del processo associato all'evento |
username |
stringa |
facoltativo |
Nome dell'account utente associato all'evento |
hash |
stringa |
facoltativo |
Hash SHA1 dell'oggetto filtrato |
event |
stringa |
facoltativo |
Tipo di evento |
rule_id |
stringa |
facoltativo |
ID regola |
action_taken |
stringa |
facoltativo |
Azione intrapresa |
scanner_id |
stringa |
facoltativo |
ID scanner |
object_uri |
stringa |
facoltativo |
URI oggetto |
target_address |
stringa |
facoltativo |
Indirizzo della destinazione dell'evento |
target_address_type |
stringa |
facoltativo |
Tipo di indirizzo della destinazione dell’evento (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
stringa |
facoltativo |
Indica l'eventuale gestione del rilevamento |
Esempio di rapporto JSON FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem inoltra gli allarmi ESET Inspect a Syslog. Gli attributi specifici sono i seguenti:
processname |
stringa |
facoltativo |
Nome del processo che causa questo allarme |
---|---|---|---|
username |
stringa |
facoltativo |
Proprietario del processo |
rulename |
stringa |
facoltativo |
Nome della regola che attiva questo allarme |
count |
numero |
facoltativo |
Numero di avvisi di questo tipo generati dall'ultimo allarme |
hash |
stringa |
facoltativo |
Hash SHA1 dell’allarme |
eiconsolelink |
stringa |
facoltativo |
Collegamento all'allarme nella console di ESET Inspect On-Prem |
eialarmid |
stringa |
facoltativo |
Sottoparte ID del collegamento allarme ($1 in ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
numero |
facoltativo |
Punteggio gravità computer |
severity_score |
numero |
facoltativo |
Punteggio gravità regola |
Esempio di rapporto JSON EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT On-Prem inoltra i file bloccati di ESET Inspect On-Prem a Syslog. Gli attributi specifici sono i seguenti:
processname |
stringa |
facoltativo |
Nome del processo associato all'evento |
username |
stringa |
facoltativo |
Nome dell'account utente associato all'evento |
hash |
stringa |
facoltativo |
Hash SHA1 del file bloccato |
object_uri |
stringa |
facoltativo |
URI oggetto |
action |
stringa |
facoltativo |
Azione intrapresa |
firstseen |
stringa |
facoltativo |
Ora e data in cui il rilevamento è stato trovato per la prima volta in quella macchina (formato data e ora). |
cause |
stringa |
facoltativo |
|
description |
stringa |
facoltativo |
Descrizione del file bloccato |
handled |
stringa |
facoltativo |
Indica l'eventuale gestione del rilevamento |