Udalosti exportované vo formáte JSON
JSON je jednoduchý formát pre výmenu dát. Je založený na dvoch dátových štruktúrach: kolekcia párov názov-hodnota a zoradený zoznam hodnôt.
Exportované udalosti
Táto sekcia obsahuje podrobnosti o formáte a význame atribútov všetkých exportovaných udalostí. Správa o udalosti má podobu objektu JSON vrátane niektorých povinných a voliteľných kľúčov (atribútov). Každá exportovaná udalosť bude obsahovať nasledujúci kľúč:
event_type |
reťazec |
|
Typ exportovanej udalosti: •Threat_Event ( Antivírusové detekcie) •FirewallAggregated_Event (Detekcie firewallu) •HipsAggregated_Event (Detekcie modulu HIPS) •Audit_Event (Protokol auditu) •FilteredWebsites_Event (Filtrované webové stránky – Webová ochrana) •EnterpriseInspectorAlert_Event (Upozornenia nástroja ESET Inspect) |
---|---|---|---|
ipv4 |
reťazec |
voliteľné |
IPv4 adresa počítača, ktorý generoval udalosť. |
ipv6 |
reťazec |
voliteľné |
IPv6 adresa počítača, ktorý generoval udalosť. |
hostname |
reťazec |
|
Názov hostiteľa počítača, ktorý generoval udalosť. |
source_uuid |
reťazec |
|
UUID počítača, ktorý generoval udalosť. |
occurred |
reťazec |
|
Čas vo formáte UTC, kedy udalosť vznikla. Formát: %d-%b-%Y %H:%M:%S |
severity |
reťazec |
|
Závažnosť udalosti. Možné hodnoty (od najmenej závažnej po najviac závažnú) sú: Informácia, Oznámenie, Upozornenie, Chyba, Kritický, Závažný. |
group_name |
reťazec |
|
Úplná cesta k statickej skupine počítača, ktorý generoval udalosť. Ak je cesta dlhšia ako 255 znakov, group_name obsahuje len názov statickej skupiny. |
group_description |
reťazec |
|
Popis statickej skupiny. |
os_name |
reťazec |
|
Informácie o operačnom systéme počítača. |
Všetky typy udalostí uvedené ďalej sú bez ohľadu na úroveň závažnosti nahlasované Syslog serveru. Na filtrovanie protokolov udalostí odoslaných do Syslogu vytvorte oznámenie pre kategóriu protokolov s definovaným filtrom. Hlásené hodnoty závisia od bezpečnostného produktu ESET nainštalovaného na spravovanom počítači (a jeho verzie), pričom ESET PROTECT On-Prem len reportuje prijaté dáta. ESET preto nevie poskytnúť kompletný zoznam všetkých hodnôt. Odporúčame sledovať vašu sieť a filtrovať protokoly na základe hodnôt, ktoré ste dostali. |
Vlastné kľúče (atribúty) podľa event_type:
Threat_Event
Všetky záznamy o antivírusových detekciách generovaných spravovanými koncovými zariadeniami sa odošlú na Syslog. Záznam o detekcii vyzerá nasledovne:
threat_type |
reťazec |
voliteľné |
Typ detekcie |
---|---|---|---|
threat_name |
reťazec |
voliteľné |
Názov detekcie |
threat_flags |
reťazec |
voliteľné |
Príznaky súvisiace s detekciou |
scanner_id |
reťazec |
voliteľné |
ID skenera |
scan_id |
reťazec |
voliteľné |
ID kontroly |
engine_version |
reťazec |
voliteľné |
Verzia skenovacieho jadra |
object_type |
reťazec |
voliteľné |
Typ objektu týkajúci sa tejto udalosti |
object_uri |
reťazec |
voliteľné |
URI objektu |
action_taken |
reťazec |
voliteľné |
Akcia vykonaná koncovým produktom |
action_error |
reťazec |
voliteľné |
Chybové hlásenie v prípade, že „akcia“ nebola úspešná |
threat_handled |
bool |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
need_restart |
bool |
voliteľné |
Informácia o tom, či je potrebný reštart |
username |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
processname |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
circumstances |
reťazec |
voliteľné |
Krátka informácia o tom, čo spôsobilo danú udalosť |
hash |
reťazec |
voliteľné |
SHA1 hash (detekcie) dátového toku. |
reťazec |
voliteľné |
Čas a dátum, kedy bola detekcia po prvýkrát zistená na zariadení. ESET PROTECT On-Prem používa rozdielne formáty času a dátumu pre atribút firstseen (a každý iný atribút času a dátumu) v závislosti od výstupného formátu (JSON alebo LEEF): •JSON formát: "%d-%b-%Y %H:%M:%S" •LEEF formát: "%b %d %Y %H:%M:%S" |
Príklad protokolu Threat_Event vo formáte JSON:
FirewallAggregated_Event
Protokoly udalostí generované firewallom ESET (detekcie firewallu) agreguje riadiaci ESET Management Agent na účely zníženia množstva dát prenášaných počas replikácie ESET Management Agenta/ESET PROTECT Servera. Záznam o udalostiach firewallu vyzerá nasledovne:
event |
reťazec |
voliteľné |
Názov udalosti |
---|---|---|---|
source_address |
reťazec |
voliteľné |
Adresa zdroja udalosti |
source_address_type |
reťazec |
voliteľné |
Typ adresy zdroja udalosti |
source_port |
číslo |
voliteľné |
Port zdroja udalosti |
target_address |
reťazec |
voliteľné |
Adresa cieľa udalosti |
target_address_type |
reťazec |
voliteľné |
Typ adresy cieľa udalosti |
target_port |
číslo |
voliteľné |
Port cieľa udalosti |
protocol |
reťazec |
voliteľné |
Protokol |
account |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
process_name |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
rule_name |
reťazec |
voliteľné |
Názov pravidla |
rule_id |
reťazec |
voliteľné |
ID pravidla |
inbound |
bool |
voliteľné |
Informácia, či išlo o prichádzajúce pripojenie |
threat_name |
reťazec |
voliteľné |
Názov detekcie |
aggregate_count |
číslo |
voliteľné |
Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT Server |
action |
reťazec |
voliteľné |
Vykonaná akcia |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
Príklad protokolu FirewallAggregated_Event vo formáte JSON:
HIPSAggregated_Event
Udalosti z modulu HIPS (detekcie modulu HIPS) sú filtrované na základe závažnosti pred tým, ako sú ďalej odosielané v podobe Syslog správ. Záznam o udalostiach modulu HIPS vyzerá nasledovne:
application |
reťazec |
voliteľné |
Názov aplikácie |
---|---|---|---|
operation |
reťazec |
voliteľné |
Operácia |
target |
reťazec |
voliteľné |
Cieľ |
action |
reťazec |
voliteľné |
Vykonaná akcia |
action_taken |
reťazec |
voliteľné |
Akcia vykonaná koncovým produktom |
rule_name |
reťazec |
voliteľné |
Názov pravidla |
rule_id |
reťazec |
voliteľné |
ID pravidla |
aggregate_count |
číslo |
voliteľné |
Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma po sebe idúcimi replikáciami ESET Management Agenta na ESET PROTECT Server |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
Príklad protokolu HipsAggregated_Event vo formáte JSON:
Audit_Event
ESET PROTECT On-Prem preposiela do Syslogu správy z interného protokolu auditu. Záznam o udalostiach vyzerá nasledovne:
domain |
reťazec |
voliteľné |
Doména protokolu auditu |
---|---|---|---|
action |
reťazec |
voliteľné |
Vykonávaná akcia |
target |
reťazec |
voliteľné |
Cieľ, na ktorom je akcia vykonávaná |
detail |
reťazec |
voliteľné |
Podrobný popis akcie |
user |
reťazec |
voliteľné |
Užívateľ vykonávajúci akciu |
result |
reťazec |
voliteľné |
Výsledok akcie |
Príklad protokolu Audit_Event:
FilteredWebsites_Event
ESET PROTECT On-Prem preposiela filtrované webové stránky (detekcie Webovej ochrany) do Syslogu. Záznam o udalostiach vyzerá nasledovne:
processname |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
username |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
hash |
reťazec |
voliteľné |
SHA1 hash filtrovaného objektu |
event |
reťazec |
voliteľné |
Typ udalosti |
rule_id |
reťazec |
voliteľné |
ID pravidla |
action_taken |
reťazec |
voliteľné |
Vykonaná akcia |
scanner_id |
reťazec |
voliteľné |
ID skenera |
object_uri |
reťazec |
voliteľné |
URI objektu |
target_address |
reťazec |
voliteľné |
Adresa cieľa udalosti |
target_address_type |
reťazec |
voliteľné |
Typ adresy cieľa udalosti (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
Príklad protokolu FilteredWebsites_Event vo formáte JSON:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem preposiela upozornenia nástroja ESET Inspect do Syslogu. Záznam o udalostiach vyzerá nasledovne:
processname |
reťazec |
voliteľné |
Názov procesu, ktorý spôsobil upozornenie |
---|---|---|---|
username |
reťazec |
voliteľné |
Vlastník procesu |
rulename |
reťazec |
voliteľné |
Názov pravidla, ktoré spustilo upozornenie |
count |
číslo |
voliteľné |
Počet upozornení tohto typu vygenerovaných od posledného upozornenia |
hash |
reťazec |
voliteľné |
SHA1 hash upozornenia |
eiconsolelink |
reťazec |
voliteľné |
Odkaz na upozornenie v konzole ESET Inspect On-Prem |
eialarmid |
reťazec |
voliteľné |
Podčasť ID odkazu na upozornenie ($1 v ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
číslo |
voliteľné |
Skóre závažnosti počítača |
severity_score |
číslo |
voliteľné |
Skóre závažnosti pravidla |
Príklad protokolu EnterpriseInspectorAlert_Event vo formáte JSON:
BlockedFiles_Event
ESET PROTECT On-Prem preposiela blokované súbory nahlásené nástrojom ESET Inspect On-Prem do Syslogu. Záznam o udalostiach vyzerá nasledovne:
processname |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
username |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
hash |
reťazec |
voliteľné |
SHA1 hash blokovaného súboru |
object_uri |
reťazec |
voliteľné |
URI objektu |
action |
reťazec |
voliteľné |
Vykonaná akcia |
firstseen |
reťazec |
voliteľné |
Čas a dátum, kedy bola detekcia prvýkrát nájdená na danom počítači (formát dátumu a času). |
cause |
reťazec |
voliteľné |
|
description |
reťazec |
voliteľné |
Popis blokovaného súboru |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |