Události exportované do JSON formátu
JSON (JavaScript Object Notation) je jednoduchý formát pro výměnu dat. Je založený na dvou datových strukturách: kolekce párů název-hodnota a seřazeném seznamu hodnot.
Exportované události
V této části uvádíme formát všech exportovaných událostí společně s popisem jednotlivých atributů. Zprávy událostí jsou reprezentovány JSON objektem, kdy některé části jsou povinné, jiné volitelné. Každá exportovaná událost bude obsahovat tyto atributy:
event_type |
řetězec |
|
Typ exportované události: Threat_Event, FirewallAggregated_Event, HipsAggregated_Event, Audit_Event, EnterpriseInspectorAlert_Event, BlockedFiles_Event, FilteredWebsites_Event. |
|---|---|---|---|
ipv4 |
řetězec |
volitelné |
IPv4 adresa počítače, který vygeneroval událost |
ipv6 |
řetězec |
volitelné |
IPv6 adresa počítače, který vygeneroval událost |
source_uuid |
řetězec |
|
UUID počítače, který vygeneroval událost |
occurred |
řetězec |
|
Čas v UTC formátu, kdy událost vznikla. Formát: %d-%b-%Y %H:%M:%S |
severity |
řetězec |
|
Závažnost události. Možné hodnoty (seřazeno od málo kritických po nejzávažnější): Oznámení, Informační, Varování, Chyba, Kritické, Mimořádné |
Vlastní klíče související s event_type:
1. ThreatEvent
Na Syslog server se zasílají všechny detekce z koncových stanic. Záznam o detekci vypadá následovně:
threat_type |
řetězec |
volitelné |
Typ detekce |
|---|---|---|---|
threat_name |
řetězec |
volitelné |
Název detekce |
threat_flags |
řetězec |
volitelné |
Štítek související s detekcí |
scanner_id |
řetězec |
volitelné |
ID skeneru |
scan_id |
řetězec |
volitelné |
ID kontroly |
engine_version |
řetězec |
volitelné |
Verze skenovacího jádra |
object_type |
řetězec |
volitelné |
Typ objektu související s touto událostí |
object_uri |
řetězec |
volitelné |
URI objektu |
action_taken |
řetězec |
volitelné |
Provedená akce s objektem |
action_error |
řetězec |
volitelné |
Chybová zpráva v případě, že se "akci" nepodařilo úspěšně provést |
threat_handled |
bool |
volitelné |
Informace o tom, zda byla detekce vyřešena |
need_restart |
bool |
volitelné |
Informace, zda je vyžadován restart |
username |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
processname |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
circumstances |
řetězec |
volitelné |
Krátký popis s informací, co způsobilo událost |
hash |
řetězec |
volitelné |
SHA1 kontrolní součet (detekce) data streamu. |
řetězec |
volitelné |
Datum a čas první detekce na zařízení. V závislosti na výstupním formátu (JSON nebo LEEF) generuje ESET PROTECT firstseenatribut (a další atributy související s časem) v odlišném tvaru: •JSON formát: "%d-%b-%Y %H:%M:%S" •LEEF formát: "%b %d %Y %H:%M:%S" |
2. FirewallAggregated_Event
Informace o událostech personálního firewallu agreguje ESET Management Agent za účelem snížení množství přenášených dat během jejich replikace na ESET PROTECT server. Záznam o událostech firewallu vypadá následovně:
event |
řetězec |
volitelné |
Název události |
|---|---|---|---|
source_address |
řetězec |
volitelné |
Adresa zdroje události |
source_address_type |
řetězec |
volitelné |
Typ adresy zdroje události |
source_port |
číslo |
volitelné |
Port zdroje události |
target_address |
řetězec |
volitelné |
Adresa cíle události |
target_address_type |
řetězec |
volitelné |
Typ adresy cíle události |
target_port |
číslo |
volitelné |
Port cíle události |
protocol |
řetězec |
volitelné |
Protokol |
account |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
process_name |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
rule_name |
řetězec |
volitelné |
Název pravidla |
rule_id |
řetězec |
volitelné |
ID pravidla |
inbound |
bool |
volitelné |
Informace, zda se jednalo o příchozí spojení |
threat_name |
řetězec |
volitelné |
Název detekce |
aggregate_count |
číslo |
volitelné |
Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET Management Agenta na ESET PROTECT Server. |
3. HIPSAggregated_Event
Před odesláním událostí na syslog server jsou zprávy z modulu HIPS (Host-based Intrusion Prevention System) nejprve filtrovány podle nastavené závažnosti. Na syslog jsou odesílány pouze události se závažností: Chyba, Kritické a Mimořádné. Záznam o událostech modulu HIPS vypadá následovně:
application |
řetězec |
volitelné |
Název aplikace |
|---|---|---|---|
operation |
řetězec |
volitelné |
Operace |
target |
řetězec |
volitelné |
Cíl |
action |
řetězec |
volitelné |
Akce |
rule_name |
řetězec |
volitelné |
Název pravidla |
rule_id |
řetězec |
volitelné |
ID pravidla |
aggregate_count |
číslo |
volitelné |
Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET Management Agenta na ESET PROTECT Server. |
4. Audit_Event
ESET PROTECT přeposílá na Syslog interní audit log. Záznam o událostech vypadá následovně:
domain |
řetězec |
volitelné |
Doména |
|---|---|---|---|
action |
řetězec |
volitelné |
Akce |
target |
řetězec |
volitelné |
Cíl, nad kterým je akce prováděna |
detail |
řetězec |
volitelné |
Detailní popis akce |
user |
řetězec |
volitelné |
Uživatel, který akci provádí |
result |
řetězec |
volitelné |
Výsledek akce |
5. FilteredWebsites_Event
ESET PROTECT přeposílá seznam filtrovaných webových stránek (detekce modulem Ochrana přístupu na web) na Syslog. Záznam o událostech vypadá následovně:
hostname |
řetězec |
volitelné |
Název počítače, který vygeneroval událost |
processname |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
username |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
resolved |
bool |
volitelné |
Informace o tom, zda byla událost vyřešena |
hash |
řetězec |
volitelné |
SHA1 hash filtrovaného objektu |
event |
řetězec |
volitelné |
Typ události |
rule_id |
řetězec |
volitelné |
ID pravidla |
action_taken |
řetězec |
volitelné |
Akce |
scanner_id |
řetězec |
volitelné |
ID skeneru |
object_uri |
řetězec |
volitelné |
URI objektu |
target_address |
řetězec |
volitelné |
Adresa cíle události |
target_address_type |
řetězec |
volitelné |
Typ adresy cíle události (25769803777 = IPv4; 25769803778 = IPv6) |
6. EnterpriseInspectorAlert_Event
ESET PROTECT přeposílá ESET Enterprise Inspector alarmy na Syslog. Záznam o událostech vypadá následovně:
processname |
řetězec |
volitelné |
Název procesu, který způsobil tento alarm |
|---|---|---|---|
username |
řetězec |
volitelné |
Vlastník procesu |
rulename |
řetězec |
volitelné |
Název pravidla, které aktivovalo tento alarm |
count |
číslo |
volitelné |
Počet oznámení, vygenerovaných tímto typem, od posledního alarmu |
hash |
řetězec |
volitelné |
SHA1 hash alarmu |
eiconsolelink |
řetězec |
volitelné |
Odkaz na alarm v ESET Enterprise Inspector konzoli |
eialarmid |
řetězec |
volitelné |
ID části odkazu alarmu ($1 v ^http.*/alarm/([0-9]+)$) |
7. BlockedFiles_Event
ESET PROTECT přeposílá ESET Enterprise Inspector blokované soubory na Syslog. Záznam o událostech vypadá následovně:
hostname |
řetězec |
volitelné |
Název počítače, který vygeneroval událost |
processname |
řetězec |
volitelné |
Název procesu spojeného s touto událostí |
username |
řetězec |
volitelné |
Název uživatelského účtu spojeného s touto událostí |
resolved |
bool |
volitelné |
Informace o tom, zda byl blokovaný soubor zpracován |
hash |
řetězec |
volitelné |
SHA1 hash blokovaného souboru |
object_uri |
řetězec |
volitelné |
URI objektu |
action |
řetězec |
volitelné |
Akce |
firstseen |
řetězec |
volitelné |
Datum a čas první detekce na zařízení (formát data a času). |
cause |
řetězec |
volitelné |
|
description |
řetězec |
volitelné |
Popis blokovaného souboru |