Ayuda en línea de ESET

Búsqueda English
Seleccione la categoría
Seleccione el tema

Eventos exportados a formato JSON

JSON en un formato ligero para el intercambio de datos. Se basa en la recopilación de pares de nombre/valor y una lista ordenada de valores.

Eventos exportados

Esta sección contiene detalles sobre el formato y el significado de los atributos de todos los eventos exportados. El mensaje del evento presenta el formato de un objeto JSON con algunas claves obligatorias y otras opcionales. Cada evento exportado contendrá la siguiente clave:

event_type

cadena

 

Tipo de eventos exportados:

Threat_Event (detecciones de icon_antivirus Antivirus)

FirewallAggregated_Event (detecciones de icon_firewall Cortafuegos)

HipsAggregated_Event (detecciones de icon_hips HIPS)

Audit_Event (registro de auditoría)

FilteredWebsites_Event web (sitios web filtrados: icon_web_protection protección web)

EnterpriseInspectorAlert_Event (icon_ei_alert alertas de ESET Inspect)

BlockedFiles_Event (icon_blocked archivos bloqueados)

ipv4

cadena

opcional

Dirección IPv4 del ordenador que genera el evento.

ipv6

cadena

opcional

Dirección IPv6 del ordenador que genera el evento.

hostname

cadena

 

Nombre de host del ordenador que genera el evento.

source_uuid

cadena

 

UUID del ordenador que genera el evento.

occurred

cadena

 

Hora UTC en la que el evento tuvo lugar. Tiene el formato %d-%b-%Y %H:%M:%S

severity

cadena

 

Gravedad del evento. Los posibles valores (de menos grave a más grave) son: Información, Aviso, Advertencia, Error, Crítico y Fatal.

group_name

cadena

 

La ruta completa al grupo estático del ordenador que genera el evento. Si la ruta de acceso tiene más de 255 caracteres, group_name solo contiene el nombre del grupo estático.

group_description

cadena

 

Descripción del grupo estático.

os_name

cadena

 

Información sobre el sistema operativo del ordenador.


note

Todos los tipos de sucesos indicados a continuación con todos los niveles de gravedad se registran en el servidor de Syslog. Para filtrar los registros de sucesos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido.

Los valores notificados dependen del producto de seguridad de ESET (y su versión) que se haya instalado en el ordenador administrado, y ESET PROTECT On-Prem solo informa de los datos recibidos. Por lo tanto, ESET no puede proporcionar una lista exhaustiva de todos los valores. Le recomendamos que compruebe su red y filtre los registros en función de los valores recibidos.

Claves personalizadas según event_type:

Threat_Event

Todos los eventos de detección de icon_antivirusAntivirus generados por equipos administrados se reenviarán a Syslog. Clave específica del evento de detección:

threat_type

cadena

opcional

Tipo de detección

threat_name

cadena

opcional

Nombre de la detección

threat_flags

cadena

opcional

Marcadores relacionados con la detección

scanner_id

cadena

opcional

ID del escáner

scan_id

cadena

opcional

ID del análisis

engine_version

cadena

opcional

Versión del motor de análisis

object_type

cadena

opcional

Tipo de objeto relacionado con este evento

object_uri

cadena

opcional

URL del objeto

action_taken

cadena

opcional

Acción realizada por el punto de acceso

action_error

cadena

opcional

Mensaje de error si la "acción" no se ha realizado correctamente

threat_handled

bool

opcional

Indica si la detección se gestionó o no

need_restart

bool

opcional

Indica si es necesario reiniciar o no

username

cadena

opcional

Nombre de la cuenta de usuario relacionada con el evento

processname

cadena

opcional

Nombre del proceso relacionado con el evento

circumstances

cadena

opcional

Breve descripción de la causa del evento

hash

cadena

opcional

Hash SHA1 de la secuencia de datos (detección).

firstseen

cadena

opcional

Hora y fecha en las que se detectó la detección por primera vez en ese equipo. ESET PROTECT On-Prem utiliza diferentes formatos de fecha y hora para el atributo firstseen (y para cualquier otro atributo de fecha y hora) dependiendo del formato de salida del registro (JSON o LEEF):

JSON formato:"%d-%b-%Y %H:%M:%S"

LEEF formato:"%b %d %Y %H:%M:%S"

arrow_down_business Ejemplo de registro JSON de Threat_Event:

FirewallAggregated_Event

Los registros de eventos generados por el cortafuegos de ESET (detecciones de icon_firewall Cortafuegos) los agrega la instancia de ESET Management Agent que administra para no desperdiciar ancho de banda durante la replicación de ESET Management Agent/ESET PROTECT Server. Clave específica del evento de cortafuegos:

event

cadena

opcional

Nombre del evento

source_address

cadena

opcional

Dirección del origen del evento

source_address_type

cadena

opcional

Tipo de dirección del origen del evento

source_port

número

opcional

Puerto del origen del evento

target_address

cadena

opcional

Dirección del destino del evento

target_address_type

cadena

opcional

Tipo de dirección del destino del evento

target_port

número

opcional

Puerto del destino del evento

protocol

cadena

opcional

Protocolo

account

cadena

opcional

Nombre de la cuenta de usuario relacionada con el evento

process_name

cadena

opcional

Nombre del proceso relacionado con el evento

rule_name

cadena

opcional

Nombre de la regla

rule_id

cadena

opcional

ID de la regla

inbound

bool

opcional

Indica si la conexión fue entrante o no

threat_name

cadena

opcional

Nombre de la detección

aggregate_count

número

opcional

El número de los mensajes exactamente iguales generados por el punto de acceso entre dos replicaciones consecutivas entre el ESET PROTECT Server y el ESET Management Agent encargado de la gestión.

action

cadena

opcional

Acción realizada

handled

cadena

opcional

Indica si la detección se gestionó o no

arrow_down_business Ejemplo de registro JSON de FirewallAggregated_Event:

HIPSAggregated_Event

Los eventos de HIPS (detecciones de icon_hips HIPS) se filtran por Gravedad antes de enviarse de nuevo como mensajes de Syslog. Los atributos específicos del HIPS son los siguientes:

application

cadena

opcional

Nombre de la aplicación

operation

cadena

opcional

Operación

target

cadena

opcional

Destino

action

cadena

opcional

Acción realizada

action_taken

cadena

opcional

Acción realizada por el punto de acceso

rule_name

cadena

opcional

Nombre de la regla

rule_id

cadena

opcional

ID de la regla

aggregate_count

número

opcional

El número de los mensajes exactamente iguales generados por el punto de acceso entre dos replicaciones consecutivas entre el ESET PROTECT Server y el ESET Management Agent encargado de la gestión.

handled

cadena

opcional

Indica si la detección se gestionó o no

arrow_down_business Ejemplo de registro JSON de HipsAggregated_Event:

Audit_Event

ESET PROTECT On-Prem reenvía los mensajes del registro de auditoría interno a Syslog. Los atributos específicos son los siguientes:

domain

cadena

opcional

Dominio del registro de auditoría

action

cadena

opcional

Acción que se está realizando

target

cadena

opcional

Destino en el que se está realizando la acción

detail

cadena

opcional

Descripción detallada de la acción

user

cadena

opcional

Usuario de seguridad implicado

result

cadena

opcional

Resultado de la acción

arrow_down_business Ejemplo de registro de Audit_Event:

FilteredWebsites_Event

ESET PROTECT On-Prem reenvía los sitios web filtrados (detecciones de icon_web_protectionProtección web) a Syslog. Los atributos específicos son los siguientes:

processname

cadena

opcional

Nombre del proceso relacionado con el evento

username

cadena

opcional

Nombre de la cuenta de usuario relacionada con el evento

hash

cadena

opcional

Hash SHA1 del objeto filtrado

event

cadena

opcional

Tipo de suceso

rule_id

cadena

opcional

ID de la regla

action_taken

cadena

opcional

Acción realizada

scanner_id

cadena

opcional

ID del escáner

object_uri

cadena

opcional

URL del objeto

target_address

cadena

opcional

Dirección del destino del evento

target_address_type

cadena

opcional

Tipo de dirección del destino del evento 25769803777 = IPv4; 25769803778 = IPv6)

handled

cadena

opcional

Indica si la detección se gestionó o no

arrow_down_business Ejemplo de registro JSON de FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem reenvía las alarmas de ESET Inspect al Syslog. Los atributos específicos son los siguientes:

processname

cadena

opcional

Nombre del proceso que provoca esta alarma

username

cadena

opcional

Propietario del proceso

rulename

cadena

opcional

Nombre de la regla que activa esta alarma

count

número

opcional

Número de alertas de este tipo generadas desde la última alerta

hash

cadena

opcional

Hash SHA1 de la alarma

eiconsolelink

cadena

opcional

Enlace a la alarma en la consola de ESET Inspect On-Prem

eialarmid

cadena

opcional

Subparte del identificador del vínculo de alarma ($1 en ^http.*/alarm/([0-9]+)$)

computer_severity_score

número

opcional

Nivel de gravedad del ordenador

severity_score

número

opcional

Nivel de gravedad de la regla

arrow_down_business Ejemplo de registro JSON de EnterpriseInspectorAlert_Event:

BlockedFiles_Event

ESET PROTECT On-Prem reenvía los archivos bloqueados por ESET Inspect On-Premicon_blocked a Syslog. Los atributos específicos son los siguientes:

processname

cadena

opcional

Nombre del proceso relacionado con el evento

username

cadena

opcional

Nombre de la cuenta de usuario relacionada con el evento

hash

cadena

opcional

Hash SHA1 del archivo bloqueado

object_uri

cadena

opcional

URL del objeto

action

cadena

opcional

Acción realizada

firstseen

cadena

opcional

Hora y fecha en las que se detectó por primera vez en ese equipo (formato de fecha y hora).

cause

cadena

opcional

 

description

cadena

opcional

Descripción del archivo bloqueado

handled

cadena

opcional

Indica si la detección se gestionó o no