ESET Online Yardım

Arama Türkçe
Kategori seçin
Konu seçin

JSON biçimine aktarılan olaylar

JSON veri alışverişi için hafif bir biçimdir. Ad / değer çiftlerinin toplamıyla ve değerlerden oluşan sıralı bir listeyle oluşturulur.

Dışa aktarılan olaylar

Bu bölüm biçimle ve tüm dışa aktarılan olayların özniteliklerinin anlamıyla ilgili ayrıntıları içerir. Olay iletisi bazı zorunlu ve bazı isteğe bağlı anahtarlarla birlikte bir JSON nesnesi biçimindedir. Dışa aktarılan her olay aşağıdaki anahtarı içerir:

event_type

dize

 

Dışa aktarılan olayların türü:

Threat_Event (icon_antivirusAntivirus tespitleri)

FirewallAggregated_Event (icon_firewall Güvenlik duvarı tespitleri)

HipsAggregated_Event (icon_hips HIPS tespitleri)

Audit_Event (Denetleme günlüğü)

FilteredWebsites_Event (Filtrelenen web siteleri - icon_web_protection Web Koruması)

EnterpriseInspectorAlert_Event (icon_ei_alert ESET Inspect Uyarıları)

BlockedFiles_Event (icon_blocked Engellenen dosyalar)

ipv4

dize

isteğe bağlı

Olayı oluşturan bilgisayarın IPv4 adresi.

ipv6

dize

isteğe bağlı

Olayı oluşturan bilgisayarın IPv6 adresi.

hostname

dize

 

Olayı oluşturan bilgisayarın ana bilgisayar adı.

source_uuid

dize

 

Olayı oluşturan bilgisayarın UUID'si.

occurred

dize

 

Olayın gerçekleştiği UTC saati. Biçim: %d-%b-%Y %H:%M:%S

severity

dize

 

Olayın önem derecesi. Olası değerler (en düşük önem derecesinden en yüksek dereceye kadar): Bilgi, Bildirim, Uyarı, Hata, Kritik, Tehlikeli.

group_name

dize

 

Olayı oluşturan bilgisayarın statik grubuna ait yolun tamamı. Yol 255 karakterden uzunsa group_name yalnızca statik grup adını içerir.

group_description

dize

 

Statik grup açıklaması.

os_name

dize

 

Bilgisayarın işletim sistemiyle ilgili bilgiler.


note

Aşağıda listelenen tüm olay türleri ve tüm önem dereceleri Syslog sunucusuna bildirilir. Syslog'a gönderilen olay günlüklerini filtrelemek için tanımlanan bir filtreyle bir günlük kategorisi bildirimi oluşturun.

Bildirilen değerler, yönetilen bilgisayarda yüklenmiş olan ESET güvenlik ürününe (ve sürümüne) bağlıdır ve ESET PROTECT On-Prem yalnızca alınan verileri raporlar. Bu nedenle ESET tüm değerlerin yer aldığı bir liste sağlamaz. Ağınızı izlemenizi ve aldığınız değerlere göre günlükleri filtrelemenizi öneririz.

event_type türüne uygun olarak özel anahtarlar:

Threat_Event

Yönetilen uç noktalar tarafından oluşturulan tüm icon_antivirusAntivirus tespit olayları Syslog'a iletilir. Algılama olayına özel anahtar:

threat_type

dize

isteğe bağlı

Algılama türü

threat_name

dize

isteğe bağlı

Algılama adı

threat_flags

dize

isteğe bağlı

Algılamayla ilgili bayraklar

scanner_id

dize

isteğe bağlı

Tarayıcı kimliği

scan_id

dize

isteğe bağlı

Tarama Kimliği

engine_version

dize

isteğe bağlı

Tarama altyapısının sürümü

object_type

dize

isteğe bağlı

Bu olayla ilgili nesnenin türü

object_uri

dize

isteğe bağlı

Nesne URI'sı

action_taken

dize

isteğe bağlı

Endpoint tarafından gerçekleştirilen eylem

action_error

dize

isteğe bağlı

"İşlem" başarısız olursa hata iletisi

threat_handled

bool

isteğe bağlı

Algılamanın işlenip işlenmediğini gösterir

need_restart

bool

isteğe bağlı

Yeniden başlatmanın gerekip gerekmediğini gösterir

username

dize

isteğe bağlı

Olayla ilişkilendirilen kullanıcı hesabının adı

processname

dize

isteğe bağlı

Olayla ilişkilendirilen işlemin adı

circumstances

dize

isteğe bağlı

Olaya neyin neden olduğuna dair kısa açıklama

hash

dize

isteğe bağlı

(Algılama) veri akışının SHA1 karması.

firstseen

dize

isteğe bağlı

Algılamanın söz konusu makinede ilk kez bulunduğu tarih ve saat. ESET PROTECT On-Prem, firstseen niteliği için günlük çıktısı biçimine göre (JSON veya LEEF) farklı tarih-saat biçimleri (ve başka herhangi bir tarih-saat niteliği) kullanır:

JSON biçimi:"%d-%b-%Y %H:%M:%S"

LEEF biçimi:"%b %d %Y %H:%M:%S"

arrow_down_business Threat_Event JSON günlük örneği:

FirewallAggregated_Event

ESET Güvenlik Duvarı tarafından oluşturulan olay günlükleri (icon_firewall Güvenlik Duvarı tespitleri) ESET Management Agent/ESET PROTECT Server çoğaltma işlemi sırasında bant genişliğinin harcanmasını önlemek için yöneten ESET Management Agent tarafından toplanır. Güvenlik Duvarı olayına özgü anahtar:

event

dize

isteğe bağlı

Olay adı

source_address

dize

isteğe bağlı

Olay kaynağının adresi

source_address_type

dize

isteğe bağlı

Olay kaynağının adres türü

source_port

numara

isteğe bağlı

Olay kaynağının bağlantı noktası

target_address

dize

isteğe bağlı

Olay hedefinin adresi

target_address_type

dize

isteğe bağlı

Olay hedefinin adres türü

target_port

numara

isteğe bağlı

Olay hedefinin bağlantı noktası

protocol

dize

isteğe bağlı

Protokol

account

dize

isteğe bağlı

Olayla ilişkilendirilen kullanıcı hesabının adı

process_name

dize

isteğe bağlı

Olayla ilişkilendirilen işlemin adı

rule_name

dize

isteğe bağlı

Kural adı

rule_id

dize

isteğe bağlı

Kural Kimliği

inbound

bool

isteğe bağlı

Bağlantının gelen bağlantı olup olmadığını gösterir

threat_name

dize

isteğe bağlı

Algılamanın adı

aggregate_count

numara

isteğe bağlı

ESET PROTECT Server ve yöneten ESET Management Agent arasında, ardışık iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı iletilerin sayısı

action

dize

isteğe bağlı

Gerçekleştirilen eylem

handled

dize

isteğe bağlı

Algılamanın işlenip işlenmediğini gösterir

arrow_down_business FirewallAggregated_Event JSON günlük örneği:

HIPSAggregated_Event

Host Tabanlı Saldırı Önleme Sistemi'ndeki (HIPS) olaylar (icon_hips HIPS tespitleri), Syslog mesajları olarak gönderilmeden önce önem derecesine göre filtrelenir. HIPS'e özgü öznitelikler aşağıdaki gibidir:

application

dize

isteğe bağlı

Uygulama adı

operation

dize

isteğe bağlı

İşlem

target

dize

isteğe bağlı

Hedef

action

dize

isteğe bağlı

Gerçekleştirilen eylem

action_taken

dize

isteğe bağlı

Endpoint tarafından gerçekleştirilen eylem

rule_name

dize

isteğe bağlı

Kural adı

rule_id

dize

isteğe bağlı

Kural Kimliği

aggregate_count

numara

isteğe bağlı

ESET PROTECT Server ve yöneten ESET Management Agent arasında, ardışık iki çoğaltma arasındaki uç nokta tarafından oluşturulan aynı iletilerin sayısı

handled

dize

isteğe bağlı

Algılamanın işlenip işlenmediğini gösterir

arrow_down_business HipsAggregated_Event JSON günlük örneği:

Audit_Event

ESET PROTECT On-Prem, dahili denetleme günlüğü mesajlarını Syslog'a yönlendirir. Özel öznitelikler aşağıdaki gibidir:

domain

dize

isteğe bağlı

Denetleme günlüğü etki alanı

action

dize

isteğe bağlı

Eylem gerçekleştiriliyor

target

dize

isteğe bağlı

Hedef eylem şurada çalıştırılıyor:

detail

dize

isteğe bağlı

Eylemin ayrıntılı açıklaması

user

dize

isteğe bağlı

Güvenlik kullanıcısı dahil

result

dize

isteğe bağlı

Eylemin sonucu

arrow_down_business Audit_Event günlük örneği:

FilteredWebsites_Event

ESET PROTECT On-Prem, filtrelenen web sitelerini (icon_web_protectionWeb Koruması tespitleri) Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:

processname

dize

isteğe bağlı

Olayla ilişkilendirilen işlemin adı

username

dize

isteğe bağlı

Olayla ilişkilendirilen kullanıcı hesabının adı

hash

dize

isteğe bağlı

Filtre uygulanmış nesnenin SHA1 hash'i

event

dize

isteğe bağlı

Olay türü

rule_id

dize

isteğe bağlı

Kural Kimliği

action_taken

dize

isteğe bağlı

Gerçekleştirilen eylem

scanner_id

dize

isteğe bağlı

Tarayıcı kimliği

object_uri

dize

isteğe bağlı

Nesne URI'sı

target_address

dize

isteğe bağlı

Olay hedefinin adresi

target_address_type

dize

isteğe bağlı

Olay hedefinin adres türü (25769803777 = IPv4; 25769803778 = IPv6)

handled

dize

isteğe bağlı

Algılamanın işlenip işlenmediğini gösterir

arrow_down_business FilteredWebsites_Event JSON günlük örneği:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem, icon_ei_alertESET Inspectalarmlarını Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:

processname

dize

isteğe bağlı

Bu alarma neden olan işlemin adı

username

dize

isteğe bağlı

İşlemin sahibi

rulename

dize

isteğe bağlı

Bu alarmı tetikleyen kuralın adı

count

numara

isteğe bağlı

Son alarmdan bu yana oluşturulan bu tür uyarıların sayısı

hash

dize

isteğe bağlı

Alarmın SHA1 hash'i

eiconsolelink

dize

isteğe bağlı

ESET Inspect On-Prem konsolundaki alarma bağlantı

eialarmid

dize

isteğe bağlı

Alarm bağlantısının kimlik alt bölümü (^http.*/alarm/([0-9]+)$ içindeki $1)

computer_severity_score

numara

isteğe bağlı

Bilgisayar önem derecesi puanı

severity_score

numara

isteğe bağlı

Kural önem derecesi puanı

arrow_down_business EnterpriseInspectorAlert_Event JSON günlük örneği:

BlockedFiles_Event

ESET PROTECT On-Prem, ESET Inspect On-Prem icon_blocked Engellenen Dosyalarını Syslog'a iletir. Özel öznitelikler aşağıdaki gibidir:

processname

dize

isteğe bağlı

Olayla ilişkilendirilen işlemin adı

username

dize

isteğe bağlı

Olayla ilişkilendirilen kullanıcı hesabının adı

hash

dize

isteğe bağlı

Engellenen dosyanın SHA1 hash'i

object_uri

dize

isteğe bağlı

Nesne URI'sı

action

dize

isteğe bağlı

Gerçekleştirilen eylem

firstseen

dize

isteğe bağlı

Tespitin söz konusu makinede ilk kez bulunduğu saat ve tarih (tarih ve saat biçimi).

cause

dize

isteğe bağlı

 

description

dize

isteğe bağlı

Engellenen dosyanın açıklaması

handled

dize

isteğe bağlı

Algılamanın işlenip işlenmediğini gösterir