События, экспортируемые в формат JSON
JSON — облегченный формат для обмена данными. Он построен на наборе пар «имя-значение» и упорядоченном списке значений.
Экспортируемые события
Этот раздел содержит сведения о формате и значение атрибутов всех экспортируемых событий. Сообщение о событии создается в виде объекта JSON с обязательными и необязательными ключами. Каждое экспортируемое событие будет содержать следующий ключ:
event_type |
строка |
|
Тип экспортируемых событий: •Threat_Event (обнаружения защиты от вирусов ) •FirewallAggregated_Event (обнаружения файервола ) •HipsAggregated_Event (обнаружения системы HIPS ) •FilteredWebsites_Event (отфильтрованные веб-сайты — защита доступа в Интернет ) •EnterpriseInspectorAlert_Event (предупреждения ESET Inspect ) |
---|---|---|---|
ipv4 |
строка |
необязательно |
IPv4-адрес компьютера, создавшего событие. |
ipv6 |
строка |
необязательно |
IPv6-адрес компьютера, создавшего событие. |
hostname |
строка |
|
Идентификатор Имя хоста компьютера, создавшего событие. |
source_uuid |
строка |
|
Идентификатор UUID компьютера, создавшего событие. |
occurred |
строка |
|
Время события в формате UTC. Используется формат %d-%b-%Y %H:%M:%S. |
severity |
строка |
|
Серьезность события. Возможные значения (от наименее до наиболее серьезных событий): «Информация», «Примечание», «Предупреждение», «Ошибка», «Критическая ошибка», «Неустранимая ошибка». |
group_name |
строка |
|
Полный путь статической группы компьютера, создавшего событие. Если длина пути превышает 255 символов, group_name содержит только имя статической группы. |
group_description |
строка |
|
Описание статической группы. |
os_name |
строка |
|
Информация об операционной системе компьютера. |
Все перечисленные ниже типы событий со всеми уровнями серьезности передаются на сервер системного журнала. Для фильтрации журналов событий, отправленных в системный журнал, создайте уведомление о категории журнала с заданным фильтром. Передаваемые значения зависят от продукта безопасности ESET (и его версии), установленного на управляемом компьютере, и ESET PROTECT On-Prem передает только полученные данные. Поэтому ESET не может предоставить исчерпывающий список всех значений. Рекомендуем наблюдать за сетью и фильтровать журналы на основании получаемых значений. |
Настраиваемые ключи в соответствии с event_type:
Threat_Event
Все события типа «обнаружение защиты от вирусов» , которые создаются управляемыми конечными точками, будут перенаправлены в системный журнал. Ключи событий «обнаружение» перечислены в таблице ниже.
threat_type |
строка |
необязательно |
Тип обнаружения |
---|---|---|---|
threat_name |
строка |
необязательно |
Имя обнаружения |
threat_flags |
строка |
необязательно |
Флаги, связанные с обнаружением |
scanner_id |
строка |
необязательно |
Идентификатор модуля сканирования. |
scan_id |
строка |
необязательно |
Идентификатор сканирования. |
engine_version |
строка |
необязательно |
Версия модуля сканирования. |
object_type |
строка |
необязательно |
Тип объекта, связанного с этим событием. |
object_uri |
строка |
необязательно |
URI объекта |
action_taken |
строка |
необязательно |
Действие, которое выполнила конечная точка. |
action_error |
строка |
необязательно |
Сообщение об ошибке, если «действие» не было успешным. |
threat_handled |
логическое значение |
необязательно |
Показывает, было ли обработано обнаружение. |
need_restart |
логическое значение |
необязательно |
Показывает, нужна ли перезагрузка. |
username |
строка |
необязательно |
Имя учетной записи пользователя, связанной с событием. |
processname |
строка |
необязательно |
Имя процесса, связанного с событием. |
circumstances |
строка |
необязательно |
Краткое описание причины события. |
hash |
строка |
необязательно |
SHA1-хеш потока данных (обнаружения). |
строка |
необязательно |
Время и дата, когда обнаружение было выявлено впервые на этом компьютере. ESET PROTECT On-Prem использует разные форматы даты и времени для атрибута firstseen (и любого другого атрибута даты и времени) в зависимости от формата вывода журнала (JSON или LEEF): •JSON формат:"%d-%b-%Y %H:%M:%S" •LEEF формат:"%b %d %Y %H:%M:%S" |
Пример журнала JSON Threat_Event:
FirewallAggregated_Event
Чтобы не перегружать полосу пропускания при репликации агента ESET Management или сервера ESET PROTECT, журналы событий, созданные файерволом ESET (обнаружения файервола ), собирает управляющий агент ESET Management. Ключи событий файервола приведены в таблице ниже.
event |
строка |
необязательно |
Имя события. |
---|---|---|---|
source_address |
строка |
необязательно |
Адрес источника события. |
source_address_type |
строка |
необязательно |
Тип адреса источника события. |
source_port |
число |
необязательно |
Порт источника события. |
target_address |
строка |
необязательно |
Адрес цели события. |
target_address_type |
строка |
необязательно |
Тип адреса цели события. |
target_port |
число |
необязательно |
Порт цели события. |
protocol |
строка |
необязательно |
Протокол |
account |
строка |
необязательно |
Имя учетной записи пользователя, связанной с событием. |
process_name |
строка |
необязательно |
Имя процесса, связанного с событием. |
rule_name |
строка |
необязательно |
Имя правила |
rule_id |
строка |
необязательно |
Идентификатор правила |
inbound |
логическое значение |
необязательно |
Показывает, является ли подключение входящим. |
threat_name |
строка |
необязательно |
Имя обнаружения. |
aggregate_count |
число |
необязательно |
Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между ESET PROTECT Server и управляющим агентом ESET Management. |
action |
строка |
необязательно |
Действие выполнено |
handled |
строка |
необязательно |
Показывает, было ли обработано обнаружение. |
Пример журнала JSON FirewallAggregated_Event:
HIPSAggregated_Event
События системы Host-based Intrusion Prevention System (обнаружения системы HIPS ) фильтруются по уровню серьезности перед отправкой далее в качестве сообщений системного журнала. В таблице ниже перечислены атрибуты HIPS.
application |
строка |
необязательно |
Имя приложения |
---|---|---|---|
operation |
строка |
необязательно |
Операция |
target |
строка |
необязательно |
Объект |
action |
строка |
необязательно |
Действие выполнено |
action_taken |
строка |
необязательно |
Действие, которое выполнила конечная точка. |
rule_name |
строка |
необязательно |
Имя правила |
rule_id |
строка |
необязательно |
Идентификатор правила |
aggregate_count |
число |
необязательно |
Количество одинаковых сообщений, созданных конечной точкой в промежутке между двумя последовательными репликациями между ESET PROTECT Server и управляющим агентом ESET Management. |
handled |
строка |
необязательно |
Показывает, было ли обработано обнаружение. |
Пример журнала JSON HipsAggregated_Event:
Audit_Event
ESET PROTECT On-Prem перенаправляет внутренние сообщения журнала аудита в системный журнал. В таблице ниже перечислены атрибуты.
domain |
строка |
необязательно |
Домен журнала аудита |
---|---|---|---|
action |
строка |
необязательно |
Выполняемое действие |
target |
строка |
необязательно |
Объект целевого действия |
detail |
строка |
необязательно |
Подробное описание действия |
user |
строка |
необязательно |
Пользователь программы для обеспечения безопасности |
result |
строка |
необязательно |
Результат действия |
FilteredWebsites_Event
ESET PROTECT On-Prem перенаправляет отфильтрованные веб-сайты (обнаружения средством Защита доступа в Интернет) в системный журнал. В таблице ниже перечислены атрибуты.
processname |
строка |
необязательно |
Имя процесса, связанного с событием. |
username |
строка |
необязательно |
Имя учетной записи пользователя, связанной с событием. |
hash |
строка |
необязательно |
Хеш SHA1 отфильтрованного объекта |
event |
строка |
необязательно |
Тип события |
rule_id |
строка |
необязательно |
Идентификатор правила |
action_taken |
строка |
необязательно |
Действие выполнено |
scanner_id |
строка |
необязательно |
Идентификатор модуля сканирования. |
object_uri |
строка |
необязательно |
URI объекта |
target_address |
строка |
необязательно |
Адрес цели события. |
target_address_type |
строка |
необязательно |
Тип адреса цели события (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
строка |
необязательно |
Показывает, было ли обработано обнаружение. |
Пример журнала JSON FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem перенаправляет предупреждения ESET Inspect в системный журнал. В таблице ниже перечислены атрибуты.
processname |
строка |
необязательно |
Имя процесса, инициировавшего это предупреждение |
---|---|---|---|
username |
строка |
необязательно |
Владелец процесса |
rulename |
строка |
необязательно |
Имя правила, инициировавшего это предупреждение |
count |
число |
необязательно |
Число уведомлений этого типа, созданных с момента последнего предупреждения |
hash |
строка |
необязательно |
Хеш SHA1 предупреждения |
eiconsolelink |
строка |
необязательно |
Ссылка на предупреждение в консоли ESET Inspect On-Prem |
eialarmid |
строка |
необязательно |
Подчасть идентификатора ссылки на предупреждение ($1 в ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
число |
необязательно |
Оценка серьезности угроз на компьютере |
severity_score |
число |
необязательно |
Оценка серьезности правила |
Пример журнала JSON EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT On-Prem перенаправляет заблокированные файлы ESET Inspect On-Prem в системный журнал. В таблице ниже перечислены атрибуты.
processname |
строка |
необязательно |
Имя процесса, связанного с событием. |
username |
строка |
необязательно |
Имя учетной записи пользователя, связанной с событием. |
hash |
строка |
необязательно |
Хеш SHA1 заблокированного файла |
object_uri |
строка |
необязательно |
URI объекта |
action |
строка |
необязательно |
Действие выполнено |
firstseen |
строка |
необязательно |
Время и дата, когда обнаружение было впервые выявлено на этом компьютере (формат даты и времени). |
cause |
строка |
необязательно |
|
description |
строка |
необязательно |
Описание заблокированного файла |
handled |
строка |
необязательно |
Показывает, было ли обработано обнаружение. |