Інтерактивна довідка ESET

Виберіть категорію
Виберіть тему

Події, що експортуються у формат JSON

JSON – це полегшений формат для обміну даними. Його побудовано на наборі пар «назва-значення» й упорядкованому списку значень.

Експортовані події

Цей розділ містить інформацію про формат і значення атрибутів усіх експортованих подій. Повідомлення про подію створюється у формі об’єкта JSON з кількома обов’язковими й необов’язковими ключами. Кожна експортована подія міститиме такий ключ:

event_type

рядок

 

Тип експортованих подій:

Threat_Event (виявлені антивірусом об’єкти icon_antivirus)

FirewallAggregated_Event (об’єкти брандмауера icon_firewall)

HipsAggregated_Event (об’єкти HIPS icon_hips)

Audit_Event (журнал аудиту)

FilteredWebsites_Event (відфільтровані веб-сайти: веб-захист icon_web_protection)

EnterpriseInspectorAlert_Event (сповіщення ESET Inspect icon_ei_alert)

BlockedFiles_Event (заблоковані файли icon_blocked)

ipv4

рядок

необов’язкова

IPv4-адреса комп’ютера, що створив подію.

ipv6

рядок

необов’язкова

IPv6-адреса комп’ютера, що створив подію.

hostname

рядок

 

Ідентифікатор Ім'я комп'ютера, що створив подію.

source_uuid

рядок

 

Ідентифікатор UUID комп’ютера, що створив подію.

occurred

рядок

 

Час події у форматі UTC. Формат: %d-%b-%Y %H:%M:%S

severity

рядок

 

Рівень критичності події. Можливі значення (від найменш до найбільш критичної): «Інформація», «Попередження», «Застереження», «Помилка», «Критична помилка», «Невиправна помилка»

group_name

рядок

 

Повний шлях до статичної групи комп’ютера, що створив подію. Якщо довжина шляху перевищуватиме 255 символів, group_name міститиме лише назву статичної групи.

group_description

рядок

 

Опис статичної групи.

os_name

рядок

 

Інформація про операційну систему комп’ютера.


note

На сервер Syslog надсилаються події всіх указаних нижче типів зі всіма рівнями критичності. Щоб відфільтрувати журнали подій, надіслані в Syslog, створіть сповіщення про категорію журналу з визначеним фільтром.

Повернуті значення залежать від продукту з безпеки ESET (і його версії), інстальованого на керованому комп’ютері. Тільки ESET PROTECT On-Prem повертає отримані дані. Тому ESET не може надати повний список усіх значень. Рекомендуємо стежити за мережею та фільтрувати журнали на основі отриманих значень.

Налаштовувані ключі відповідно до event_type:

Threat_Event

Усі події виявлення об’єктів антивірусом icon_antivirus, створені керованими кінцевими точками, пересилатимуться в системний журнал. Ключ події «Виявлений об’єкт»:

threat_type

рядок

необов’язкова

Тип виявленого об’єкта

threat_name

рядок

необов’язкова

Назва виявленого об’єкта

threat_flags

рядок

необов’язкова

Прапорці, пов’язані з виявленим об’єктом

scanner_id

рядок

необов’язкова

Ідентифікатор сканера

scan_id

рядок

необов’язкова

Ідентифікатор сканування

engine_version

рядок

необов’язкова

Версія ядра сканування

object_type

рядок

необов’язкова

Тип об’єкта, пов’язаного з цією подією

object_uri

рядок

необов’язкова

URI об’єкта

action_taken

рядок

необов’язкова

Дія, яку виконала робоча станція

action_error

рядок

необов’язкова

Повідомлення про помилку, якщо не вдалося виконати дію

threat_handled

логічне значення

необов’язкова

Указує, чи оброблено виявлений об’єкт

need_restart

логічне значення

необов’язкова

Указує, чи потрібно виконати перезавантаження

username

рядок

необов’язкова

Назва облікового запису користувача, пов’язаного з подією

processname

рядок

необов’язкова

Назва процесу, пов’язаного з подією

circumstances

рядок

необов’язкова

Короткий опис причини події

hash

рядок

необов’язкова

Хеш SHA1 потоку даних (виявленого об’єкта).

firstseen

рядок

необов’язкова

Дата й час першого виявлення об’єкта на певному комп’ютері. ESET PROTECT On-Prem використовує різні формати дати-часу для атрибута firstseen (і будь-якого іншого атрибута дати-часу) залежно від формату виведення даних журналу (JSON або LEEF):

JSON формат: "%d-%b-%Y %H:%M:%S"

LEEF формат: "%b %d %Y %H:%M:%S"

arrow_down_business Зразок журналу JSON Threat_Event:

FirewallAggregated_Event

Щоб марно не навантажувати смугу пропускання (виявлені об’єкти брандмауера icon_firewall) під час реплікації агента ESET Management або сервера ESET Management, журнали подій, створені брандмауером ESET, збирає головний агент ESET PROTECT. Ключ події брандмауера:

event

рядок

необов’язкова

Назва події

source_address

рядок

необов’язкова

Адреса джерела події

source_address_type

рядок

необов’язкова

Тип адреси джерела події

source_port

число

необов’язкова

Порт джерела події

target_address

рядок

необов’язкова

Адреса цілі події

target_address_type

рядок

необов’язкова

Тип адреси цілі події

target_port

число

необов’язкова

Порт цілі події

protocol

рядок

необов’язкова

Протокол

account

рядок

необов’язкова

Назва облікового запису користувача, пов’язаного з подією

process_name

рядок

необов’язкова

Назва процесу, пов’язаного з подією

rule_name

рядок

необов’язкова

Ім’я правила

rule_id

рядок

необов’язкова

Ідентифікатор правила

inbound

логічне значення

необов’язкова

Указує, чи є підключення вхідним

threat_name

рядок

необов’язкова

Назва виявленого об’єкта

aggregate_count

число

необов’язкова

Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між сервером ESET PROTECT і головним агентом ESET Management

action

рядок

необов’язкова

Дію вжито

handled

рядок

необов’язкова

Указує, чи оброблено виявлений об’єкт

arrow_down_business Зразок журналу JSON FirewallAggregated_Event:

HIPSAggregated_Event

Події системи запобігання втручанню в хост (виявлені об’єкти HIPS icon_hips) фільтруються за рівнем критичності до надсилання у вигляді повідомлень системного журналу. Атрибути системи запобігання вторгненням (HIPS):

application

рядок

необов’язкова

Назва програми

operation

рядок

необов’язкова

Операція

target

рядок

необов’язкова

Об'єкт

action

рядок

необов’язкова

Дію вжито

action_taken

рядок

необов’язкова

Дія, яку виконала робоча станція

rule_name

рядок

необов’язкова

Ім’я правила

rule_id

рядок

необов’язкова

Ідентифікатор правила

aggregate_count

число

необов’язкова

Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між сервером ESET PROTECT і головним агентом ESET Management

handled

рядок

необов’язкова

Указує, чи оброблено виявлений об’єкт

arrow_down_business Зразок журналу JSON HipsAggregated_Event:

Audit_Event

ESET PROTECT On-Prem переспрямовує повідомлення журналу внутрішнього аудиту в системний журнал. Нижче наведено спеціальні атрибути.

domain

рядок

необов’язкова

Домен журналу аудиту

action

рядок

необов’язкова

Виконувана дія

target

рядок

необов’язкова

Об’єкт цільової дії

detail

рядок

необов’язкова

Детальний опис дії

user

рядок

необов’язкова

Користувач системи безпеки

result

рядок

необов’язкова

Результат дії

arrow_down_business Зразок журналу Audit_Event:

FilteredWebsites_Event

ESET PROTECT On-Prem перенаправляє відфільтровані веб-сайти (об’єкти, виявлені модулем icon_web_protectionвеб-захисту) в Syslog. Нижче наведено спеціальні атрибути.

processname

рядок

необов’язкова

Назва процесу, пов’язаного з подією

username

рядок

необов’язкова

Назва облікового запису користувача, пов’язаного з подією

hash

рядок

необов’язкова

Хеш SHA1 відфільтрованого об’єкта

event

рядок

необов’язкова

Тип події

rule_id

рядок

необов’язкова

Ідентифікатор правила

action_taken

рядок

необов’язкова

Дію вжито

scanner_id

рядок

необов’язкова

Ідентифікатор сканера

object_uri

рядок

необов’язкова

URI об’єкта

target_address

рядок

необов’язкова

Адреса цілі події

target_address_type

рядок

необов’язкова

Тип адреси цілі події (25769803777 = IPv4; 25769803778 = IPv6)

handled

рядок

необов’язкова

Указує, чи оброблено виявлений об’єкт

arrow_down_business Зразок журналу JSON FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem перенаправляє оповіщення icon_ei_alertESET Inspect у журнал Syslog. Нижче наведено спеціальні атрибути.

processname

рядок

необов’язкова

Назва процесу, який спричинив оповіщення

username

рядок

необов’язкова

Власник процесу

rulename

рядок

необов’язкова

Назва правила, яке спричиняє це оповіщення

count

число

необов’язкова

Кількість попереджень такого типу, згенерованих із моменту останнього оповіщення

hash

рядок

необов’язкова

Хеш SHA1 оповіщення

eiconsolelink

рядок

необов’язкова

Посилання на оповіщення в консолі ESET Inspect On-Prem

eialarmid

рядок

необов’язкова

Ідентифікатор, указаний у посиланні оповіщення ($1 в ^http.*/alarm/([0-9]+)$)

computer_severity_score

число

необов’язкова

Оцінка рівня критичності для комп’ютера

severity_score

число

необов’язкова

Оцінка рівня критичності правила

arrow_down_business Зразок журналу JSON EnterpriseInspectorAlert_Event:

BlockedFiles_Event

ESET PROTECT On-Prem перенаправляє заблоковані файли ESET Inspect On-Premicon_blocked в Syslog. Нижче наведено спеціальні атрибути.

processname

рядок

необов’язкова

Назва процесу, пов’язаного з подією

username

рядок

необов’язкова

Назва облікового запису користувача, пов’язаного з подією

hash

рядок

необов’язкова

ХешSHA1 заблокованого файлу

object_uri

рядок

необов’язкова

URI об’єкта

action

рядок

необов’язкова

Дію вжито

firstseen

рядок

необов’язкова

Дата й час першого виявлення об’єкта на певному комп’ютері (формат дати й часу).

cause

рядок

необов’язкова

 

description

рядок

необов’язкова

Опис заблокованих файлів

handled

рядок

необов’язкова

Указує, чи оброблено виявлений об’єкт