تعليمات ESET عبر الإنترنت

البحث English
تحديد الفئة
تحديد الموضوع

الأحداث المصدرة إلى تنسيق JSON

يعد JSON تنسيقاً بسيطاً لتبادل البيانات. وهو يعتمد على مجموعة من مجموعات ثنائية مكونة من الاسم / القيمة وقائمة مُرتّبة من القيم.

أحداث تم تصديرها

يحتوي هذا القسم على تفاصيل حول التنسيق ومعنى السمات الخاصة بجميع الأحداث التي تم تصديرها. تكون رسالة الحدث في شكل كائن JSON مع بعض المفاتيح الإلزامية وبعض المفاتيح الاختيارية. سيحتوي كل حدث تم تصديره على المفتاح التالي:

event_type

string

 

نوع الأحداث التي تم تصديرها:

ipv4

string

اختياري

عنوان IPv4 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث.

ipv6

string

اختياري

عنوان IPv6 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث.

hostname

string

 

اسم المضيف لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث.

source_uuid

string

 

UUID لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث.

occurred

string

 

توقيت UTC لحدوث الحدث. التنسيق هو %d-%b-%Y %H:%M:%S

severity

string

 

خطورة الحدث. القيم الممكنة (من الأقل خطورة إلى الأكثر خطورة) هي: معلومات، ملاحظة، تحذير، خطأ، حرج، فادح.

group_name

string

 

المسار الكامل للمجموعة الثابتة لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. إذا كان المسار أطول من 255 حرفاً، فلا يحتوي group_name إلا على اسم المجموعة الثابتة.

group_description

string

 

وصف المجموعة الثابتة.

os_name

string

 

معلومات حول نظام تشغيل الكمبيوتر.


note

يتم الإبلاغ عن جميع أنواع الأحداث المدرجة أدناه بكل مستويات الخطورة إلى خادم Syslog. لتصفية سجلات الأحداث المرسلة إلى Syslog، أنشئ إعلام بفئة السجل باستخدام عامل تصفية محدد.

تعتمد القيم التي تم الإبلاغ عنها على منتج أمان ESET (وإصداره) المثبت على جهاز الكمبيوتر المُدار ، ويقوم ESET PROTECT On-Prem فقط بالإبلاغ عن البيانات المستلمة. لذلك، لا يمكن لـ ESET توفير قائمة شاملة بجميع القيم. نوصي بمراقبة شبكتك وتصفية السجلات بناءً على القيم التي تتلقاها.

المفاتيح المخصصة وفقاً لـ event_type:

Threat_Event

جميع أحداث اكتشاف icon_antivirusالحماية ضد الفيروسات التي تم إنشاؤها من قبل نقاط النهاية المدارة ستتم إعادة توجيهها إلى Syslog. المفتاح الخاص بحدث الاكتشاف:

threat_type

string

اختياري

نوع الاكتشاف

threat_name

string

اختياري

اسم الاكتشاف

threat_flags

string

اختياري

العلامات المرتبطة بالاكتشاف

scanner_id

string

اختياري

مُعرّف الماسح

scan_id

string

اختياري

مُعرّف المسح

engine_version

string

اختياري

إصدار محرك المسح

object_type

string

اختياري

نوع الكائن المرتبط بهذا الحدث

object_uri

string

اختياري

URI للكائن

action_taken

string

اختياري

الإجراء المُتّخذ من قبل نقطة النهاية

action_error

string

اختياري

رسالة خطأ تظهر إذا لم يكن "الإجراء" ناجحاً

threat_handled

bool

اختياري

يشير إلى ما إذا تم معالجة الاكتشاف أم لا

need_restart

bool

اختياري

ما إذا كانت هناك حاجة إلى إعادة التشغيل أم لا

username

string

اختياري

اسم حساب المستخدم المرتبط بالحدث

processname

string

اختياري

اسم العملية المرتبطة بالحدث

circumstances

string

اختياري

وصف مختصر لسبب الحدث

hash

string

اختياري

SHA1 مزيج دفق البيانات (الاكتشاف).

firstseen

string

اختياري

وقت وتاريخ العثور على الاكتشاف لأول مرة في هذا الجهاز. يستخدم ESET PROTECT On-Prem تنسيقات تاريخ-وقت مختلفة لسمة firstseen (وأي سمة تاريخ-وقت أخرى) بناءً على تنسيق إخراج السجل (JSON أو LEEF):

  • JSON التنسيق: "%d-%b-%Y %H:%M:%S"
  • LEEF التنسيق: "%b %d %Y %H:%M:%S"

arrow_down_business مثال سجل Threat_Event JSON:

FirewallAggregated_Event

يتم تجميع سجلات الأحداث التي تم إنشائها من خلال جدار حماية ESET (icon_firewall اكتشافات جدار الحماية) عن طريق إدارة عامل ESET Management لتجنب إهدار النطاق الترددي في أثناء النسخ المتماثل لعامل ESET Management / خادم ESET PROTECT. المفتاح الخاص بحدث جدار الحماية:

event

string

اختياري

اسم الحدث

source_address

string

اختياري

عنوان مصدر الحدث

source_address_type

string

اختياري

نوع عنوان مصدر الحدث

source_port

number

اختياري

منفذ مصدر الحدث

target_address

string

اختياري

عنوان وجهة الحدث

target_address_type

string

اختياري

نوع عنوان وجهة الحدث

target_port

number

اختياري

منفذ وجهة الحدث

protocol

string

اختياري

البروتوكول

account

string

اختياري

اسم حساب المستخدم المرتبط بالحدث

process_name

string

اختياري

اسم العملية المرتبطة بالحدث

rule_name

string

اختياري

اسم القاعدة

rule_id

string

اختياري

مُعرّف القاعدة

inbound

bool

اختياري

ما إذا كان الاتصال وارداً أم لا

threat_name

string

اختياري

اسم الاكتشاف

aggregate_count

number

اختياري

كم عدد الرسائل نفسها تحديداً التي تم إنشاؤها من خلال نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين خادم ESET PROTECT وعامل ESET Management مدير.

action

string

اختياري

تم الإجراء

handled

string

اختياري

يشير إلى ما إذا تم معالجة الاكتشاف أم لا

arrow_down_business مثال سجل FirewallAggregated_Event JSON:

HIPSAggregated_Event

تتم تصفية الأحداث من "نظام منع اختراق المضيف" (icon_hips اكتشافات نظام منع اختراق المضيف) على الخطورة قبل أن يتم إرسالها كذلك كرسائل Syslog. السمات المرتبطة بـ HIPS هي كالتالي:

application

string

اختياري

اسم التطبيق

operation

string

اختياري

التشغيل

target

string

اختياري

الهدف

action

string

اختياري

تم الإجراء

action_taken

string

اختياري

الإجراء المُتّخذ من قبل نقطة النهاية

rule_name

string

اختياري

اسم القاعدة

rule_id

string

اختياري

مُعرّف القاعدة

aggregate_count

number

اختياري

كم عدد الرسائل نفسها تحديداً التي تم إنشاؤها من خلال نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين خادم ESET PROTECT وعامل ESET Management مدير.

handled

string

اختياري

يشير إلى ما إذا تم معالجة الاكتشاف أم لا

arrow_down_business مثال سجل HipsAggregated_Event JSON:

Audit_Event

يقوم ESET PROTECT On-Prem بإعادة توجيه رسائل سجل التدقيق الداخلي إلى Syslog. السمات المعينة هي على النحو التالي:

domain

string

اختياري

مجال سجل التدقيق

action

string

اختياري

يتم اتخاذ الإجراء

target

string

اختياري

إجراء الهدف يعمل على

detail

string

اختياري

وصف مفصل للإجراء

user

string

اختياري

مستخدم الأمان متضمن

result

string

اختياري

نتيجة الإجراء

arrow_down_business مثال سجل Audit_Event:

FilteredWebsites_Event

ESET PROTECT On-Prem يعيد توجيه مواقع الويب التي تمت تصفيتها (اكتشافاتicon_web_protectionحماية الويب) إلى Syslog. السمات المعينة هي على النحو التالي:

processname

string

اختياري

اسم العملية المرتبطة بالحدث

username

string

اختياري

اسم حساب المستخدم المرتبط بالحدث

hash

string

اختياري

SHA1 تجزئة الكائن الذي تمت تصفيته

event

string

اختياري

نوع الحدث

rule_id

string

اختياري

مُعرّف القاعدة

action_taken

string

اختياري

تم الإجراء

scanner_id

string

اختياري

مُعرّف الماسح

object_uri

string

اختياري

URI للكائن

target_address

string

اختياري

عنوان وجهة الحدث

target_address_type

string

اختياري

نوع عنوان وجهة الحدث (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

اختياري

يشير إلى ما إذا تم معالجة الاكتشاف أم لا

arrow_down_business مثال سجل FilteredWebsites_Event JSON:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem يعيد توجيه تنبيهات icon_ei_alertESET Inspect إلى Syslog. السمات المعينة هي على النحو التالي:

processname

string

اختياري

اسم العملية التي تسبب هذا الإنذار

username

string

اختياري

صاحب العملية

rulename

string

اختياري

اسم القاعدة التي تشغل هذا الإنذار

count

number

اختياري

عدد التنبيهات من هذا النوع التي تم إنشاؤها من آخر إنذار

hash

string

اختياري

SHA1 تجزئة الإنذار

eiconsolelink

string

اختياري

ربط إلى الإنذار الموجود في وحدة تحكم ESET Inspect On-Prem

eialarmid

string

اختياري

معرف الجزء الفرعي لرابط الإنذار ($1 في ^http.*/alarm/([0-9]+)$)

computer_severity_score

number

اختياري

درجة خطورة جهاز الكمبيوتر

severity_score

number

اختياري

درجة خطورة القاعدة

arrow_down_business مثال سجل EnterpriseInspectorAlert_Event JSON:

BlockedFiles_Event

ESET PROTECT On-Prem يعيد توجيه ملفات ESET Inspect On-Premicon_blocked الملفات المحظورة إلى Syslog. السمات المعينة هي على النحو التالي:

processname

string

اختياري

اسم العملية المرتبطة بالحدث

username

string

اختياري

اسم حساب المستخدم المرتبط بالحدث

hash

string

اختياري

SHA1 تجزئة الملف المحظور

object_uri

string

اختياري

URI للكائن

action

string

اختياري

تم الإجراء

firstseen

string

اختياري

وقت وتاريخ العثور على الاكتشاف لأول مرة في هذا الجهاز (تنسيق التاريخ والوقت).

cause

string

اختياري

 

description

string

اختياري

وصف الملف المحظور

handled

string

اختياري

يشير إلى ما إذا تم معالجة الاكتشاف أم لا