Guida online ESET

Ricerca English
Seleziona la categoria
Seleziona l'argomento

Eventi esportati in formato JSON

JSON è un formato leggero per lo scambio di dati. È sviluppato su una raccolta di coppie di nomi/valori e su un elenco ordinato di valori.

Eventi esportati

Questa sezione contiene informazioni dettagliate sul formato e sul significato degli attributi di tutti gli eventi esportati. I messaggi relativi agli eventi si presentano sotto forma di oggetto JSON con alcune chiavi obbligatorie e alcune chiavi facoltative. Ciascun evento esportato conterrà la seguente chiave:

event_type

stringa

 

Tipo di eventi esportati:

Threat_Event (icon_antivirusrilevamenti antivirus)

FirewallAggregated_Event (icon_firewall rilevamenti firewall)

HipsAggregated_Event (icon_hips rilevamenti HIPS)

Evento_controllo (Rapporto di controllo)

FilteredWebsites_Event (icon_web_protection siti web filtrati: protezione web)

EnterpriseInspectorAlert_Event (icon_ei_alert avvisi ESET Inspect)

BlockedFiles_Event (icon_blocked file bloccati)

ipv4

stringa

facoltativo

Indirizzo IPv4 del computer che genera l'evento.

ipv6

stringa

facoltativo

Indirizzo IPv6 del computer che genera l'evento.

hostname

stringa

 

Nome host del computer che genera l'evento.

source_uuid

stringa

 

UUID del computer che genera l'evento.

occurred

stringa

 

Ora UTC di occorrenza dell'evento. Il formato è %d-%b-%Y %H:%M:%S

severity

stringa

 

Gravità dell'evento. I valori possibili (dal meno grave al più grave) sono: Informazioni, Avviso, Avvertenza, Errore, Critico, Irreversibile.

group_name

stringa

 

Percorso completo del gruppo statico del computer che genera l’evento. Se il percorso è più lungo di 255 caratteri, group_name contiene solo il nome del gruppo statico.

group_description

stringa

 

Descrizione del gruppo statico.

os_name

stringa

 

Informazioni sul sistema operativo del computer.


note

Tutti i tipi di eventi elencati di seguito con tutti i livelli di gravità vengono segnalati al server Syslog. Per filtrare i rapporti degli eventi inviati a Syslog, creare una notifica della categoria di rapporti con un filtro definito.

I valori segnalati dipendono dal prodotto di protezione ESET (e dalla relativa versione) installato sul computer gestito e ESET PROTECT On-Prem segnala solo i dati ricevuti. Di conseguenza, ESET non può fornire un elenco esaustivo di tutti i valori. Si consiglia di osservare la rete in uso e di filtrare i rapporti in base ai valori ricevuti.

Chiavi personalizzate in base a event_type:

Threat_Event

Tutti gli eventi dei rilevamenti icon_antivirusAntivirus generati dagli endpoint gestiti saranno inoltrati a Syslog. Chiave specifica evento rilevamento:

threat_type

stringa

facoltativo

Tipo di rilevamento

threat_name

stringa

facoltativo

Nome del rilevamento

threat_flags

stringa

facoltativo

Contrassegni correlati al rilevamento

scanner_id

stringa

facoltativo

ID scanner

scan_id

stringa

facoltativo

ID controllo

engine_version

stringa

facoltativo

Versione del motore di controllo

object_type

stringa

facoltativo

Tipo di oggetto correlato a questo evento

object_uri

stringa

facoltativo

URI oggetto

action_taken

stringa

facoltativo

Azione intrapresa dall'endpoint

action_error

stringa

facoltativo

Messaggio di errore se l’“azione” non è stata eseguita correttamente

threat_handled

bool

facoltativo

Indica l'eventuale gestione del rilevamento

need_restart

bool

facoltativo

Indica l'eventuale necessità di un riavvio

username

stringa

facoltativo

Nome dell'account utente associato all'evento

processname

stringa

facoltativo

Nome del processo associato all'evento

circumstances

stringa

facoltativo

Breve descrizione della causa dell'evento

hash

stringa

facoltativo

Hash SHA1 del flusso di dati (rilevamento).

firstseen

stringa

facoltativo

Data e ora del primo rilevamento trovato su tale macchina. ESET PROTECT On-Prem utilizza formati di data e ora differenti per l’attributo firstseen (e qualsiasi altro attributo data/ora) a seconda del formato del rapporto generato (JSON o LEEF):

JSON formato:"%d-%b-%Y %H:%M:%S"

LEEF formato:"%b %d %Y %H:%M:%S"

arrow_down_business Esempio di rapporto JSON Threat_Event:

FirewallAggregated_Event

I rapporti degli eventi generati da ESET Firewall (icon_firewall rilevamenti firewall) sono aggregati dall’istanza di ESET Management Agent di gestione al fine di evitare un utilizzo non necessario della larghezza di banda durante la replica di ESET Management Agent/ESET PROTECT Server. Chiave specifica evento firewall:

event

stringa

facoltativo

Nome evento

source_address

stringa

facoltativo

Indirizzo dell'origine dell'evento

source_address_type

stringa

facoltativo

Tipo di indirizzo dell'origine dell'evento

source_port

numero

facoltativo

Porta dell'origine dell'evento

target_address

stringa

facoltativo

Indirizzo della destinazione dell'evento

target_address_type

stringa

facoltativo

Tipo di indirizzo della destinazione dell'evento

target_port

numero

facoltativo

Porta della destinazione dell'evento

protocol

stringa

facoltativo

Protocollo

account

stringa

facoltativo

Nome dell'account utente associato all'evento

process_name

stringa

facoltativo

Nome del processo associato all'evento

rule_name

stringa

facoltativo

Nome regola

rule_id

stringa

facoltativo

ID regola

inbound

bool

facoltativo

Specifica se la connessione era o meno in entrata

threat_name

stringa

facoltativo

Nome del rilevamento

aggregate_count

numero

facoltativo

Numero esatto di messaggi uguali generati dall'endpoint tra due repliche consecutive tra il server ESET PROTECT e l'agente ESET Management di gestione

action

stringa

facoltativo

Azione intrapresa

handled

stringa

facoltativo

Indica l'eventuale gestione del rilevamento

arrow_down_business Esempio di rapporto JSON FirewallAggregated_Event:

HIPSAggregated_Event

Gli eventi provenienti dal sistema anti-intrusione basato su host (“Host-based Intrusion Prevention System”, HIPS) (icon_hips rilevamenti HIPS) sono filtrati in base al livello di gravità prima di essere inoltrati come messaggi Syslog. Gli attributi specifici dell'HIPS sono i seguenti:

application

stringa

facoltativo

Nome applicazione

operation

stringa

facoltativo

Operazione

target

stringa

facoltativo

Destinazione

action

stringa

facoltativo

Azione intrapresa

action_taken

stringa

facoltativo

Azione intrapresa dall'endpoint

rule_name

stringa

facoltativo

Nome regola

rule_id

stringa

facoltativo

ID regola

aggregate_count

numero

facoltativo

Numero esatto di messaggi uguali generati dall'endpoint tra due repliche consecutive tra il server ESET PROTECT e l'agente ESET Management di gestione

handled

stringa

facoltativo

Indica l'eventuale gestione del rilevamento

arrow_down_business Esempio di rapporto JSON HipsAggregated_Event:

Audit_Event

ESET PROTECT On-Prem inoltra i messaggi dei rapporti di controllo interni a Syslog. Gli attributi specifici sono i seguenti:

domain

stringa

facoltativo

Dominio del rapporto di audit

action

stringa

facoltativo

Azione che viene eseguita

target

stringa

facoltativo

Destinazione sulla quale è attiva l'azione

detail

stringa

facoltativo

Descrizione dettagliata dell'azione

user

stringa

facoltativo

Utente coinvolto

result

stringa

facoltativo

Risultato dell'azione

arrow_down_business Esempio di rapporto Audit_Event:

FilteredWebsites_Event

ESET PROTECT On-Prem inoltra i siti web filtrati (rilevamenti di icon_web_protectionWeb Protection) a Syslog. Gli attributi specifici sono i seguenti:

processname

stringa

facoltativo

Nome del processo associato all'evento

username

stringa

facoltativo

Nome dell'account utente associato all'evento

hash

stringa

facoltativo

Hash SHA1 dell'oggetto filtrato

event

stringa

facoltativo

Tipo di evento

rule_id

stringa

facoltativo

ID regola

action_taken

stringa

facoltativo

Azione intrapresa

scanner_id

stringa

facoltativo

ID scanner

object_uri

stringa

facoltativo

URI oggetto

target_address

stringa

facoltativo

Indirizzo della destinazione dell'evento

target_address_type

stringa

facoltativo

Tipo di indirizzo della destinazione dell’evento (25769803777 = IPv4; 25769803778 = IPv6)

handled

stringa

facoltativo

Indica l'eventuale gestione del rilevamento

arrow_down_business Esempio di rapporto JSON FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem inoltra gli allarmi ESET Inspect a Syslog. Gli attributi specifici sono i seguenti:

processname

stringa

facoltativo

Nome del processo che causa questo allarme

username

stringa

facoltativo

Proprietario del processo

rulename

stringa

facoltativo

Nome della regola che attiva questo allarme

count

numero

facoltativo

Numero di avvisi di questo tipo generati dall'ultimo allarme

hash

stringa

facoltativo

Hash SHA1 dell’allarme

eiconsolelink

stringa

facoltativo

Collegamento all'allarme nella console di ESET Inspect On-Prem

eialarmid

stringa

facoltativo

Sottoparte ID del collegamento allarme ($1 in ^http.*/alarm/([0-9]+)$)

computer_severity_score

numero

facoltativo

Punteggio gravità computer

severity_score

numero

facoltativo

Punteggio gravità regola

arrow_down_business Esempio di rapporto JSON EnterpriseInspectorAlert_Event:

BlockedFiles_Event

ESET PROTECT On-Prem inoltra i file bloccati di ESET Inspect On-Premicon_blocked a Syslog. Gli attributi specifici sono i seguenti:

processname

stringa

facoltativo

Nome del processo associato all'evento

username

stringa

facoltativo

Nome dell'account utente associato all'evento

hash

stringa

facoltativo

Hash SHA1 del file bloccato

object_uri

stringa

facoltativo

URI oggetto

action

stringa

facoltativo

Azione intrapresa

firstseen

stringa

facoltativo

Ora e data in cui il rilevamento è stato trovato per la prima volta in quella macchina (formato data e ora).

cause

stringa

facoltativo

 

description

stringa

facoltativo

Descrizione del file bloccato

handled

stringa

facoltativo

Indica l'eventuale gestione del rilevamento