Zdarzenia eksportowane do formatu JSON

Skopiuj adres URL bieżącego artykułu Udostępnij przez e-mail

Ten artykuł (PDF) Cała dokumentacja (PDF)

JSON to niewymagający dużej ilości zasobów format wymiany danych. Tworzy go zbiór par nazw i wartości oraz uporządkowana lista wartości.

Eksportowane zdarzenia

W tej części można znaleźć szczegółowe informacje o formacie oraz znaczeniu atrybutów wszystkich eksportowanych zdarzeń. Komunikat o zdarzeniu ma postać obiektu JSON, w którym część kluczy jest obowiązkowa, a część opcjonalna. Każde z wyeksportowanych zdarzeń będzie zawierać następujące klucze:

event_type	string		Typ wyeksportowanych zdarzeń: •Threat_Event (wykrycia oprogramowania antywirusowego) •FirewallAggregated_Event ( wykrycia zapory sieciowej) •HipsAggregated_Event ( wykrycia systemu HIPS) •Audit_Event (Dziennik audytu) •FilteredWebsites_Event (Filtrowane strony internetowe — Ochrona sieci) •EnterpriseInspectorAlert_Event ( alerty ESET Inspect) •BlockedFiles_Event ( zablokowane pliki)
ipv4	string	opcjonalnie	Adres IPv4 komputera, który wygenerował zdarzenie.
ipv6	string	opcjonalnie	Adres IPv6 komputera, który wygenerował zdarzenie.
hostname	string		Identyfikator Nazwa hosta komputera, który wygenerował zdarzenie.
source_uuid	string		Identyfikator UUID komputera, który wygenerował zdarzenie.
occurred	string		Godzina wystąpienia zdarzenia w formacie UTC. Używany format: %d-%b-%Y %H:%M:%S
severity	string		Stopień ważności zdarzenia. Możliwe wartości (od najmniejszej do największej wagi): Informacja, Powiadomienie, Ostrzeżenie, Błąd, Krytyczne, Katastrofalny.
group_name	string		Pełna ścieżka do grupy statycznej komputera generującego zdarzenie. Jeśli jednak ścieżka jest dłuższa niż 255 znaków, group_name zawiera tylko nazwę grupy statycznej.
group_description	string		Opis grupy statycznej.
os_name	string		Informacje o systemie operacyjnym komputera.

Wszystkie typy zdarzeń wymienione poniżej ze wszystkimi poziomami ważności są zgłaszane do serwera programu Syslog. Aby filtrować dzienniki zdarzeń wysyłane do programu Syslog, utwórz powiadomienie o kategorii dziennika ze zdefiniowanym filtrem.

Zgłaszane wartości zależą od produktu zabezpieczającego firmy ESET (i jego wersji) zainstalowanego na zarządzanym komputerze i ESET PROTECT On-Prem zgłaszają tylko otrzymane dane. W związku z tym firma ESET nie może dostarczyć wyczerpującej listy wszystkich wartości. Zalecamy obserwowanie sieci i filtrowanie dzienników na podstawie otrzymanych wartości.

Klucze niestandardowe według atrybutu event_type:

Threat_Event

Wszystkie zdarzenia wykrycia przez program antywirusowy wygenerowane przez zarządzane punkty końcowe będą przekazywane do dziennika systemowego Syslog. Klucze zdarzeń związanych z wykryciami:

threat_type	string	opcjonalnie	Typ wykrycia
threat_name	string	opcjonalnie	Nazwa wykrycia
threat_flags	string	opcjonalnie	Flagi związane z wykryciem
scanner_id	string	opcjonalnie	Identyfikator skanera
scan_id	string	opcjonalnie	Identyfikator skanowania
engine_version	string	opcjonalnie	Wersja aparatu skanowania
object_type	string	opcjonalnie	Typ obiektu związanego z tym zdarzeniem
object_uri	string	opcjonalnie	Identyfikator URI obiektu
action_taken	string	opcjonalnie	Czynność podjęta przez punkt końcowy
action_error	string	opcjonalnie	Komunikat o błędzie generowany w przypadku, gdy „czynność” nie przyniesie żądanego efektu
threat_handled	wartość logiczna	opcjonalnie	Informacja o tym, czy wykrycie zostało obsłużone
need_restart	wartość logiczna	opcjonalnie	Informacja o tym, czy konieczne jest ponowne uruchomienie
username	string	opcjonalnie	Nazwa konta użytkownika związanego ze zdarzeniem
processname	string	opcjonalnie	Nazwa procesu związanego ze zdarzeniem
circumstances	string	opcjonalnie	Krótki opis przyczyny zdarzenia
hash	string	opcjonalnie	Skrót SHA1 strumienia danych (wykrycia).
firstseen	string	opcjonalnie	Godzina i data, gdy wykrycie znaleziono po raz pierwszy w tym urządzeniu. ESET PROTECT On-Prem stosuje inne formaty daty/godziny w atrybucie firstseen (i każdym innym atrybucie daty/godziny), w zależności od formatu wyjściowego dziennika (JSON lub LEEF): •JSON format:"%d-%b-%Y %H:%M:%S" •LEEF format:"%b %d %Y %H:%M:%S"

Threat_Event – przykład dziennika JSON:

FirewallAggregated_Event

Dzienniki zdarzeń generowane przez Zaporę ESET ( wykrycia Zapory) są agregowane przez zarządzającego agenta ESET Management, aby uniknąć niepotrzebnego zużycia przepustowości podczas replikacji między agentem ESET Management a serwerem ESET PROTECT. Klucze zdarzeń związanych z zaporą:

event	string	opcjonalnie	Nazwa zdarzenia
source_address	string	opcjonalnie	Adres źródła zdarzenia
source_address_type	string	opcjonalnie	Typ adresu źródła zdarzenia
source_port	wartość liczbowa	opcjonalnie	Port źródła zdarzenia
target_address	string	opcjonalnie	Adres miejsca docelowego zdarzenia
target_address_type	string	opcjonalnie	Typ adresu miejsca docelowego zdarzenia
target_port	wartość liczbowa	opcjonalnie	Port miejsca docelowego zdarzenia
protocol	string	opcjonalnie	Protokół
account	string	opcjonalnie	Nazwa konta użytkownika związanego ze zdarzeniem
process_name	string	opcjonalnie	Nazwa procesu związanego ze zdarzeniem
rule_name	string	opcjonalnie	Nazwa reguły
rule_id	string	opcjonalnie	Identyfikator reguły
inbound	wartość logiczna	opcjonalnie	Informacja o tym, czy było to połączenie przychodzące
threat_name	string	opcjonalnie	Nazwa wykrycia
aggregate_count	wartość liczbowa	opcjonalnie	Liczba identycznych komunikatów wygenerowanych przez punkt końcowy pomiędzy dwiema kolejnymi replikacjami zachodzącymi między serwerem ESET PROTECT a zarządzającym agentem ESET Management
action	string	opcjonalnie	Wykonane czynności
handled	string	opcjonalnie	Informacja o tym, czy wykrycie zostało obsłużone

FirewallAggregated_Event – przykład dziennika JSON:

HIPSAggregated_Event

Zdarzenia z systemu zapobiegania włamaniom działającego na hoście Host-based Intrusion Prevention System ( wykrycia systemu HIPS) są filtrowane na podstawie stopnia ważności, zanim zostaną przesłane dalej jako komunikaty Syslog. Poniżej przedstawiono atrybuty związane z systemem HIPS:

application	string	opcjonalnie	Nazwa aplikacji
operation	string	opcjonalnie	Operacja
target	string	opcjonalnie	Obiekt docelowy
action	string	opcjonalnie	Wykonane czynności
action_taken	string	opcjonalnie	Czynność podjęta przez punkt końcowy
rule_name	string	opcjonalnie	Nazwa reguły
rule_id	string	opcjonalnie	Identyfikator reguły
aggregate_count	wartość liczbowa	opcjonalnie	Liczba identycznych komunikatów wygenerowanych przez punkt końcowy pomiędzy dwiema kolejnymi replikacjami zachodzącymi między serwerem ESET PROTECT a zarządzającym agentem ESET Management
handled	string	opcjonalnie	Informacja o tym, czy wykrycie zostało obsłużone

HipsAggregated_Event – przykład dziennika JSON:

Audit_Event

ESET PROTECT On-Prem przekazuje komunikaty wewnętrznego dziennika audytu do Syslog. Poniżej przedstawiono konkretne atrybuty:

domain	string	opcjonalnie	Domena dzienników audytu
action	string	opcjonalnie	Trwające działanie
target	string	opcjonalnie	Cel, którego dotyczy działanie
detail	string	opcjonalnie	Szczegółowy opis działania
user	string	opcjonalnie	Użytkownik związany z zabezpieczeniami
result	string	opcjonalnie	Wynik działania

Audit_Event – przykład dziennika:

FilteredWebsites_Event

ESET PROTECT On-Prem przekazuje filtrowane witryny internetowe (wykrycia funkcji Ochrona dostępu do stron internetowych) do programu Syslog. Poniżej przedstawiono konkretne atrybuty:

processname	string	opcjonalnie	Nazwa procesu związanego ze zdarzeniem
username	string	opcjonalnie	Nazwa konta użytkownika związanego ze zdarzeniem
hash	string	opcjonalnie	Skrót SHA1 filtrowanego obiektu
event	string	opcjonalnie	Typ zdarzenia
rule_id	string	opcjonalnie	Identyfikator reguły
action_taken	string	opcjonalnie	Wykonane czynności
scanner_id	string	opcjonalnie	Identyfikator skanera
object_uri	string	opcjonalnie	Identyfikator URI obiektu
target_address	string	opcjonalnie	Adres miejsca docelowego zdarzenia
target_address_type	string	opcjonalnie	Typ adresu miejsca docelowego zdarzenia (25769803777 = IPv4; 25769803778 = IPv6)
handled	string	opcjonalnie	Informacja o tym, czy wykrycie zostało obsłużone

FilteredWebsites_Event – przykład dziennika JSON:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem przekazuje alarmy ESET Inspect do programu Syslog. Poniżej przedstawiono konkretne atrybuty:

processname	string	opcjonalnie	Nazwa procesu wywołującego ten alarm
username	string	opcjonalnie	Właściciel procesu
rulename	string	opcjonalnie	Nazwa reguły wyzwalającej ten alarm
count	wartość liczbowa	opcjonalnie	Liczba alertów tego typu wygenerowanych od ostatniego alarmu
hash	string	opcjonalnie	Skrót SHA1 alarmu
eiconsolelink	string	opcjonalnie	Łącze do alarmu w konsoli ESET Inspect On-Prem
eialarmid	string	opcjonalnie	Podczęść ID łącza alarmowego ($1 (w ^http.*/alarm/([0-9]+)$)
computer_severity_score	wartość liczbowa	opcjonalnie	Wynik stopnia zagrożenia komputera
severity_score	wartość liczbowa	opcjonalnie	Wynik stopnia zagrożenia reguły

EnterpriseInspectorAlert_Event – przykład dziennika JSON:

BlockedFiles_Event

ESET PROTECT On-Prem przekazuje zablokowane pliki ESET Inspect On-Prem do programu Syslog. Poniżej przedstawiono konkretne atrybuty:

processname	string	opcjonalnie	Nazwa procesu związanego ze zdarzeniem
username	string	opcjonalnie	Nazwa konta użytkownika związanego ze zdarzeniem
hash	string	opcjonalnie	Skrót SHA1 zablokowanego pliku
object_uri	string	opcjonalnie	Identyfikator URI obiektu
action	string	opcjonalnie	Wykonane czynności
firstseen	string	opcjonalnie	Godzina i data pierwszego wykrycia na tym urządzeniu (format daty i godziny).
cause	string	opcjonalnie
description	string	opcjonalnie	Opis zablokowanego pliku
handled	string	opcjonalnie	Informacja o tym, czy wykrycie zostało obsłużone

˄˅