匯出為 JSON 格式的事件
JSON 是適用於資料交換的輕量型格式。此格式是以名稱/值對的集合和值順序清單為基礎而建立。
匯出的事件
本節針對所有匯出事件的屬性詳細說明其格式及意義。事件訊息為 JSON 物件格式,其中包含一些必要及選用的金鑰。每個匯出事件都包含下列金鑰:
event_type |
字串 |
|
匯出事件的類型: •Threat_Event (病毒防護 偵測) •FirewallAggregated_Event ( 防火牆 偵測) •HipsAggregated_Event ( HIPS 偵測) •FilteredWebsites_Event (已過濾的網站 - Web 防護) |
---|---|---|---|
ipv4 |
字串 |
選用 |
產生事件的電腦 IPv4 位址。 |
ipv6 |
字串 |
選用 |
產生事件的電腦 IPv6 位址。 |
hostname |
字串 |
|
產生事件之電腦的主機名稱。 |
source_uuid |
字串 |
|
產生事件之電腦的 UUID。 |
occurred |
字串 |
|
事件發生的 UTC 時間。格式為 %d-%b-%Y %H:%M:%S |
severity |
字串 |
|
事件的嚴重性。可能的值 (從最不嚴重到最嚴重) 為:[資訊]、[通知]、[警告]、[錯誤]、[嚴重]、[重大]。 |
group_name |
字串 |
|
產生事件之電腦的靜態群組的完整路徑。如果路徑超過 255 個字元,則 group_name 僅包含靜態群組名稱。 |
group_description |
字串 |
|
靜態群組的說明。 |
os_name |
字串 |
|
有關電腦作業系統的資訊。 |
下面列出的所有事件類型無論其嚴重性層級為何,均將報告到系統日誌伺服器。 若要過濾傳送至系統日誌的事件防護記錄,請使用已定義的過濾器來建立防護記錄類別通知。 報告的值取決於受管理電腦上安裝的 ESET 安全性產品 (及其版本),且 ESET PROTECT On-Prem 僅會報告接收的資料。因此,ESET 無法提供所有值的詳盡清單。我們建議您查看網路並基於您接收到的值來過濾防護記錄。 |
根據 event_type 的自訂金鑰:
Threat_Event
受管理端點產生的所有 病毒防護偵測事件都會轉送到系統日誌。偵測事件特定金鑰:
threat_type |
字串 |
選用 |
偵測類型 |
---|---|---|---|
threat_name |
字串 |
選用 |
偵測名稱 |
threat_flags |
字串 |
選用 |
偵測相關旗標 |
scanner_id |
字串 |
選用 |
掃描器 ID |
scan_id |
字串 |
選用 |
掃描 ID |
engine_version |
字串 |
選用 |
掃描引擎的版本 |
object_type |
字串 |
選用 |
此事件的相關物件類型 |
object_uri |
字串 |
選用 |
物件 URI |
action_taken |
字串 |
選用 |
端點採取的動作 |
action_error |
字串 |
選用 |
「動作」不成功時產生的錯誤訊息 |
threat_handled |
bool |
選用 |
表示是否已處理偵測 |
need_restart |
bool |
選用 |
是否需要重新啟動 |
username |
字串 |
選用 |
與事件相關的使用者帳戶 |
processname |
字串 |
選用 |
與事件相關的程序名稱 |
circumstances |
字串 |
選用 |
事件發生原因的簡短說明 |
hash |
字串 |
選用 |
(偵測) 資料流的 SHA1 雜湊。 |
字串 |
選用 |
在該機器上第一次找到偵測的時間和日期。視防護記錄輸出格式 (firstseen 或 JSON) 而定,ESET PROTECT On-Prem 會對 LEEF 屬性 (和任何其他日期時間屬性) 使用不同的日期時間格式: •JSON 格式:"%d-%b-%Y %H:%M:%S" •LEEF 格式:"%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
管理 ESET Management 代理程式會彙總 ESET 防火牆 ( Firewall 偵測) 產生的事件防護記錄,以避免浪費 ESET Management 代理程式/ESET PROTECT 伺服器複製期間的頻寬。防火牆事件特定金鑰:
event |
字串 |
選用 |
事件名稱 |
---|---|---|---|
source_address |
字串 |
選用 |
事件來源的位址 |
source_address_type |
字串 |
選用 |
事件來源的位址類型 |
source_port |
數字 |
選用 |
事件來源的連接埠 |
target_address |
字串 |
選用 |
事件目的地的位址 |
target_address_type |
字串 |
選用 |
事件目的地的位址類型 |
target_port |
數字 |
選用 |
事件目的地的連接埠 |
protocol |
字串 |
選用 |
通訊協定 |
account |
字串 |
選用 |
與事件相關的使用者帳戶 |
process_name |
字串 |
選用 |
與事件相關的程序名稱 |
rule_name |
字串 |
選用 |
規則名稱 |
rule_id |
字串 |
選用 |
規則 ID |
inbound |
bool |
選用 |
連線是否為外來連線 |
threat_name |
字串 |
選用 |
偵測名稱 |
aggregate_count |
數字 |
選用 |
介於 ESET PROTECT 伺服器和管理 ESET Management 代理程式的兩個連續複製間,端點所產生的相同訊息數 |
action |
字串 |
選用 |
已採取行動 |
handled |
字串 |
選用 |
表示是否已處理偵測 |
FirewallAggregated_Event JSON 防護記錄範例:
HIPSAggregated_Event
來自主機入侵預防系統 ( HIPS 偵測) 的事件會先依[嚴重性]進行過濾,然後再傳送為系統日誌訊息。HIPS 特定屬性如下所示:
application |
字串 |
選用 |
應用程式名稱 |
---|---|---|---|
operation |
字串 |
選用 |
作業 |
target |
字串 |
選用 |
目標 |
action |
字串 |
選用 |
已採取行動 |
action_taken |
字串 |
選用 |
端點採取的動作 |
rule_name |
字串 |
選用 |
規則名稱 |
rule_id |
字串 |
選用 |
規則 ID |
aggregate_count |
數字 |
選用 |
介於 ESET PROTECT 伺服器和管理 ESET Management 代理程式的兩個連續複製間,端點所產生的相同訊息數 |
handled |
字串 |
選用 |
表示是否已處理偵測 |
HipsAggregated_Event JSON 防護記錄範例:
Audit_Event
ESET PROTECT On-Prem 會將伺服器的內部審核防護記錄訊息轉寄至 Syslog。特定屬性如下所示:
domain |
字串 |
選用 |
審查記錄檔網域 |
---|---|---|---|
action |
字串 |
選用 |
採取處理方法 |
target |
字串 |
選用 |
目標處理方法會運作於 |
detail |
字串 |
選用 |
處理方法的詳細說明。 |
user |
字串 |
選用 |
有關的安全性使用者 |
result |
字串 |
選用 |
處理方法的結果 |
FilteredWebsites_Event
ESET PROTECT On-Prem 將已過濾的網站 (Web 防護偵測) 轉寄至系統日誌。特定屬性如下所示:
processname |
字串 |
選用 |
與事件相關的程序名稱 |
username |
字串 |
選用 |
與事件相關的使用者帳戶 |
hash |
字串 |
選用 |
已過濾物件的 SHA1 雜湊 |
event |
字串 |
選用 |
事件類型 |
rule_id |
字串 |
選用 |
規則 ID |
action_taken |
字串 |
選用 |
已採取行動 |
scanner_id |
字串 |
選用 |
掃描器 ID |
object_uri |
字串 |
選用 |
物件 URI |
target_address |
字串 |
選用 |
事件目的地的位址 |
target_address_type |
字串 |
選用 |
事件目的地的位址類型 25769803777 = IPv4; 25769803778 = IPv6) |
handled |
字串 |
選用 |
表示是否已處理偵測 |
FilteredWebsites_Event JSON 防護記錄範例:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem 會將警示 ESET Inspect 轉寄至系統日誌。特定屬性如下所示:
processname |
字串 |
選用 |
造成此警示的程序名稱 |
---|---|---|---|
username |
字串 |
選用 |
程序擁有者 |
rulename |
字串 |
選用 |
觸發此警示的規則名稱 |
count |
數字 |
選用 |
自上次警示起產生的此類型警示數量 |
hash |
字串 |
選用 |
警示的 SHA1 雜湊 |
eiconsolelink |
字串 |
選用 |
在 ESET Inspect On-Prem 主控台中連結到警示 |
eialarmid |
字串 |
選用 |
警示連結的 ID 子部分 (^http.*/alarm/([0-9]+)$ 中的 $1) |
computer_severity_score |
數字 |
選用 |
電腦嚴重性評分 |
severity_score |
數字 |
選用 |
規則嚴重性評分 |
EnterpriseInspectorAlert_Event JSON 日誌示例:
BlockedFiles_Event
ESET PROTECT On-Prem 將 ESET Inspect On-Prem 封鎖的檔案轉寄至系統日誌。特定屬性如下所示:
processname |
字串 |
選用 |
與事件相關的程序名稱 |
username |
字串 |
選用 |
與事件相關的使用者帳戶 |
hash |
字串 |
選用 |
封鎖的檔案 SHA1 雜湊 |
object_uri |
字串 |
選用 |
物件 URI |
action |
字串 |
選用 |
已採取行動 |
firstseen |
字串 |
選用 |
在該電腦上首次發現偵測的時間和日期 (日期和時間格式)。 |
cause |
字串 |
選用 |
|
description |
字串 |
選用 |
封鎖的檔案描述 |
handled |
字串 |
選用 |
表示是否已處理偵測 |