Události exportované do JSON formátu
V kategorii protokolu oznámení definujte filtr, pomocí kterého budete filtrovat protokoly událostí odesílané do Syslogu.
JSON (JavaScript Object Notation) je jednoduchý formát pro výměnu dat. Je založený na dvou datových strukturách: kolekce párů název-hodnota a seřazeném seznamu hodnot.
Exportované události
V této části uvádíme formát všech exportovaných událostí společně s popisem jednotlivých atributů. Zpráva události je objekt JSON s některými povinnými a některými volitelnými klíči. Každá exportovaná událost bude obsahovat tyto atributy:
event_type |
řetězec |
|
Typ exportované události: •Threat_Event ( •FirewallAggregated_Event ( •HipsAggregated_Event ( •FilteredWebsites_Event (Filtrované webové stránky – |
|---|---|---|---|
ipv4 |
řetězec |
volitelné |
IPv4 adresa počítače, který vygeneroval událost |
ipv6 |
řetězec |
volitelné |
IPv6 adresa počítače, který vygeneroval událost |
hostname |
řetězec |
|
Název počítače, který vygeneroval událost |
source_uuid |
řetězec |
|
UUID počítače, který vygeneroval událost |
occurred |
řetězec |
|
Čas v UTC formátu, kdy událost vznikla. Formát: %d-%b-%Y %H:%M:%S |
severity |
řetězec |
|
Závažnost události. Možné hodnoty (seřazeno od málo kritických po nejzávažnější): Informační, Oznámení, Varování, Chyba, Kritické, Mimořádné. |
group_name |
řetězec |
|
Statická skupina, ve které se nachází počítač, který vygeneroval událost. Pokud je cesta delší než 255 znaků, bude obsahovat group_name pouze název statické skupiny. |
group_description |
řetězec |
|
Popis statické skupiny. |
os_name |
řetězec |
|
Informace o operačním systému počítače. |
Všechny níže uvedené události všech úrovní závažnosti se zasílají na Syslog server: V kategorii protokolu oznámení definujte filtr, pomocí kterého budete filtrovat protokoly událostí odesílané do Syslogu. Reportované hodnoty závisí na bezpečnostní aplikaci ESET (a její verzi) nainstalované na spravovaném zařízení. ESET PROTECT On-Prem pouze reportuje přijatá data. Z tohoto důvodu společnost ESET nemůže poskytnout úplný seznam všech hodnot. Doporučujeme sledovat síť a filtrovat protokoly na základě obdržených hodnot. |
Vlastní klíče související s event_type:
Threat_Event
Na Syslog server se zasílají všechny
detekce Antiviru ze spravovaných koncových zařízení. Záznam o detekci vypadá následovně:
threat_type |
řetězec |
volitelné |
Typ detekce |
|---|---|---|---|
threat_name |
řetězec |
volitelné |
Název detekce |
threat_flags |
řetězec |
volitelné |
Štítek související s detekcí |
scanner_id |
řetězec |
volitelné |
ID skeneru |
scan_id |
řetězec |
volitelné |
ID kontroly |
engine_version |
řetězec |
volitelné |
Verze skenovacího jádra |
object_type |
řetězec |
volitelné |
Typ objektu související s touto událostí |
object_uri |
řetězec |
volitelné |
URI objektu |
action_taken |
řetězec |
volitelné |
Akce provedená koncovým zařízením |
action_error |
řetězec |
volitelné |
Chybová zpráva v případě, že se "akci" nepodařilo úspěšně provést |
threat_handled |
bool |
volitelné |
Informace o tom, zda byla detekce vyřešena |
need_restart |
bool |
volitelné |
Informace, zda je vyžadován restart |
username |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
processname |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
circumstances |
řetězec |
volitelné |
Krátký popis s informací, co způsobilo událost |
hash |
řetězec |
volitelné |
SHA1 kontrolní součet (detekce) data streamu. |
řetězec |
volitelné |
Datum a čas první detekce na zařízení. V závislosti na výstupním formátu (firstseen nebo JSON) generuje ESET PROTECT On-Prem LEEF atribut (a další atributy související s časem) v odlišném tvaru: •JSON formát: "%d-%b-%Y %H:%M:%S" •LEEF formát: "%b %d %Y %H:%M:%S" |
Příklad Threat_Event JSON protokolu:
FirewallAggregated_Event
Protokoly událostí, které vygeneruje ESET Firewall (
detekce Firewallu), sesbírá ESET Management Agent za účelem snížení množství přenášených dat během replikace ESET Management Agenta / ESET PROTECT Serveru. Záznam o událostech firewallu vypadá následovně:
event |
řetězec |
volitelné |
Název události |
|---|---|---|---|
source_address |
řetězec |
volitelné |
Adresa zdroje události |
source_address_type |
řetězec |
volitelné |
Typ adresy zdroje události |
source_port |
číslo |
volitelné |
Port zdroje události |
target_address |
řetězec |
volitelné |
Adresa cíle události |
target_address_type |
řetězec |
volitelné |
Typ adresy cíle události |
target_port |
číslo |
volitelné |
Port cíle události |
protocol |
řetězec |
volitelné |
Protokol |
account |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
process_name |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
rule_name |
řetězec |
volitelné |
Název pravidla |
rule_id |
řetězec |
volitelné |
ID pravidla |
inbound |
bool |
volitelné |
Informace, zda se jednalo o příchozí spojení |
threat_name |
řetězec |
volitelné |
Název detekce |
aggregate_count |
číslo |
volitelné |
Kolik naprosto stejných zpráv bylo vygenerováno koncovým zařízením mezi dvěma po sobě jdoucími replikacemi mezi serverem ESET PROTECT a spravujícím ESET Management Agentem |
action |
řetězec |
volitelné |
Akce |
handled |
řetězec |
volitelné |
Informace o tom, zda byla detekce vyřešena |
Příklad FirewallAggregated_Event JSON protokolu:
HIPSAggregated_Event
Před odesláním událostí na syslog server jsou zprávy z modulu HIPS (
detekce HIPS) nejprve filtrovány podle nastavené závažnosti. Záznam o událostech modulu HIPS vypadá následovně:
application |
řetězec |
volitelné |
Název aplikace |
|---|---|---|---|
operation |
řetězec |
volitelné |
Operace |
target |
řetězec |
volitelné |
Cíl |
action |
řetězec |
volitelné |
Akce |
action_taken |
řetězec |
volitelné |
Akce provedená koncovým zařízením |
rule_name |
řetězec |
volitelné |
Název pravidla |
rule_id |
řetězec |
volitelné |
ID pravidla |
aggregate_count |
číslo |
volitelné |
Kolik naprosto stejných zpráv bylo vygenerováno koncovým zařízením mezi dvěma po sobě jdoucími replikacemi mezi serverem ESET PROTECT a spravujícím ESET Management Agentem |
handled |
řetězec |
volitelné |
Informace o tom, zda byla detekce vyřešena |
Příklad HipsAggregated_Event JSON protokolu:
Audit_Event
ESET PROTECT On-Prem přeposílá na Syslog interní audit log. Záznam o událostech vypadá následovně:
domain |
řetězec |
volitelné |
Doména |
|---|---|---|---|
action |
řetězec |
volitelné |
Akce |
target |
řetězec |
volitelné |
Cíl, nad kterým je akce prováděna |
detail |
řetězec |
volitelné |
Detailní popis akce |
user |
řetězec |
volitelné |
Uživatel, který akci provádí |
result |
řetězec |
volitelné |
Výsledek akce |
Příklad Audit_Event protokolu:
FilteredWebsites_Event
ESET PROTECT On-Prem přeposílá filtrované webové stránky (
detekce Webové ochrany) na Syslog. Záznam o událostech vypadá následovně:
processname |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
username |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
hash |
řetězec |
volitelné |
SHA1 hash filtrovaného objektu |
event |
řetězec |
volitelné |
Typ události |
rule_id |
řetězec |
volitelné |
ID pravidla |
action_taken |
řetězec |
volitelné |
Akce |
scanner_id |
řetězec |
volitelné |
ID skeneru |
object_uri |
řetězec |
volitelné |
URI objektu |
target_address |
řetězec |
volitelné |
Adresa cíle události |
target_address_type |
řetězec |
volitelné |
Typ adresy cíle události (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
řetězec |
volitelné |
Informace o tom, zda byla detekce vyřešena |
Příklad FilteredWebsites_Event JSON protokolu:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem přeposílá
ESET Inspect upozornění na Syslog. Záznam o událostech vypadá následovně:
processname |
řetězec |
volitelné |
Název procesu, který způsobil tento alarm |
|---|---|---|---|
username |
řetězec |
volitelné |
Vlastník procesu |
rulename |
řetězec |
volitelné |
Název pravidla, které aktivovalo tento alarm |
count |
číslo |
volitelné |
Počet oznámení, vygenerovaných tímto typem, od posledního alarmu |
hash |
řetězec |
volitelné |
SHA1 hash alarmu |
eiconsolelink |
řetězec |
volitelné |
Odkaz na alarm do ESET Inspect On-Prem konzole |
eialarmid |
řetězec |
volitelné |
ID části odkazu alarmu ($1 v ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
číslo |
volitelné |
Úroveň závažnosti počítače |
severity_score |
číslo |
volitelné |
Skóre závažnosti pravidla |
Příklad EnterpriseInspectorAlert_Event JSON protokolu:
BlockedFiles_Event
ESET PROTECT On-Prem přeposílá
blokované soubory pomocí ESET Inspect On-Prem na Syslog. Záznam o událostech vypadá následovně:
processname |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
username |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
hash |
řetězec |
volitelné |
SHA1 hash blokovaného souboru |
object_uri |
řetězec |
volitelné |
URI objektu |
action |
řetězec |
volitelné |
Akce |
firstseen |
řetězec |
volitelné |
Datum a čas první detekce na zařízení (formát data a času). |
cause |
řetězec |
volitelné |
|
description |
řetězec |
volitelné |
Popis blokovaného souboru |
handled |
řetězec |
volitelné |
Informace o tom, zda byla detekce vyřešena |