JSON形式にエクスポートされたイベント

JSONはデータ交換用の軽量形式です。名前/値のペアのコレクションと値の順序付けされたリストで作成されます。

エクスポートされたイベント

このセクションでは、すべてのエクスポートされたイベントの属性の形式と意味について説明します。イベントメッセージはJSONオブジェクトの形式で、必須キーと任意のキーがあります。各エクスポートされたイベントには次のキーがあります。

event_type

string

 

エクスポートされたイベントのタイプ:

Threat_Event

FirewallAggregated_Event

HipsAggregated_Event

Audit_Event

FilteredWebsites_Event

EnterpriseInspectorAlert_Event

BlockedFiles_Event

ipv4

string

任意

イベントを生成するコンピューターのIPv4アドレス。

ipv6

string

任意

イベントを生成するコンピューターのIPv6アドレス。

source_uuid

string

 

イベントを生成するコンピューターのUUID。

occurred

string

 

イベントの発生時刻(UTC)。形式は%d-%b-%Y %H:%M:%Sです。

severity

string

 

イベントの重大度。値(重要度の低い順):情報 通知 警告 エラー 重大

note

注意

次の一覧のすべての重要度レベルのすべてのイベントタイプがSyslogサーバーに報告されます。 Syslogに送信されたイベントログをフィルタリングするには、定義されたフィルターでログカテゴリ通知を作成します。

に基づくカスタムキー event_type:

Threat_Event

管理されたエンドポイントによって生成されたすべての検出イベントがSyslogに転送されます。検出イベント固有のキー:

threat_type

string

任意

検出のタイプ

threat_name

string

任意

検出名

threat_flags

string

任意

検出関連フラグ

scanner_id

string

任意

スキャナーID

scan_id

string

任意

検査ID

engine_version

string

任意

検査エンジンのバージョン

object_type

string

任意

このイベントに関連するオブジェクトのタイプ

object_uri

string

任意

オブジェクトURI

action_taken

string

任意

エンドポイントによって実行されたアクション

action_error

string

任意

アクションが失敗した場合のエラーメッセージ

threat_handled

bool

任意

検出が処理されたかどうかを示します

need_restart

bool

任意

再起動が必要かどうか

username

string

任意

イベントに関連付けられたユーザーアカウントの名前

processname

string

任意

イベントに関連付けられたプロセスの名前

circumstances

string

任意

イベントの原因の簡単な説明

hash

string

任意

(検出)データストリームのSHA1ハッシュ。

firstseen

string

任意

そのコンピューターで初めて検出された日時。ESET PROTECTは、ログ出力形式(firstseenまたはJSON)に応じて、LEEF属性のさまざまな日時形式を使用します。

JSON 形式: "%d-%b-%Y %H:%M:%S"

LEEF 形式: "%b %d %Y %H:%M:%S"

arrow_down_business Threat_Eventログの例:

FirewallAggregated_Event

ESET Personal Firewallによって生成されたイベントログは、管理しているESET Managementエージェントによって集約され、ESET Managementエージェント/ESET PROTECTサーバーレプリケーション中に帯域幅を浪費することがなくなります。ファイアウォールイベント固有のキー:

event

string

任意

イベント名

source_address

string

任意

イベントソースのアドレス

source_address_type

string

任意

イベントソースのアドレスのタイプ

source_port

number

任意

イベントソースのポート

target_address

string

任意

イベント宛先のアドレス

target_address_type

string

任意

イベント宛先のアドレスのタイプ

target_port

number

任意

イベント宛先のポート

protocol

string

任意

プロトコル

account

string

任意

イベントに関連付けられたユーザーアカウントの名前

process_name

string

任意

イベントに関連付けられたプロセスの名前

rule_name

string

任意

ルール名

rule_id

string

任意

ルールID

inbound

bool

任意

接続が受信かどうか

threat_name

string

任意

検出名

aggregate_count

number

任意

ESET PROTECTサーバーと管理するESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成されたまったく同じメッセージの数

action

string

任意

実行されたアクション

handled

string

任意

検出が処理されたかどうかを示します

arrow_down_business FirewallAggregated_Eventログの例:

HIPSAggregated_Event

HIPSのイベントは、Syslogメッセージとして送信される前に、重要度でフィルタリングされます。重要度レベルがErrorCriticalFatalのイベントのみがSyslogに送信されます。HIPS固有の属性は次のとおりです。

application

string

任意

アプリケーション名

operation

string

任意

処理

target

string

任意

対象

action

string

任意

実行されたアクション

action_taken

string

任意

エンドポイントによって実行されたアクション

rule_name

string

任意

ルール名

rule_id

string

任意

ルールID

aggregate_count

number

任意

ESET PROTECTサーバーと管理するESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成されたまったく同じメッセージの数

handled

string

任意

検出が処理されたかどうかを示します

arrow_down_business HipsAggregated_Eventログの例:

Audit_Event

ESET PROTECTはサーバーの内部監査ログメッセージをSyslogに転送します。固有の属性は次のとおりです。

domain

string

任意

監査ログドメイン

action

string

任意

実行中のアクション

target

string

任意

ターゲットアクションが動作しています

detail

string

任意

アクションの詳細説明

user

string

任意

関係するセキュリティユーザー

result

string

任意

アクションの結果

arrow_down_business Audit_Eventログの例:

FilteredWebsites_Event

ESET PROTECTはフィルタリングされたWebサイト(Web 保護検出)をSyslogに転送します。固有の属性は次のとおりです。

hostname

string

任意

イベントのあるコンピューターのホスト名

processname

string

任意

イベントに関連付けられたプロセスの名前

username

string

任意

イベントに関連付けられたユーザーアカウントの名前

hash

string

任意

フィルタリングされたオブジェクトのSHA1ハッシュ

event

string

任意

イベントタイプ

rule_id

string

任意

ルールID

action_taken

string

任意

実行されたアクション

scanner_id

string

任意

スキャナーID

object_uri

string

任意

オブジェクトURI

target_address

string

任意

イベント宛先のアドレス

target_address_type

string

任意

イベント宛先のアドレスのタイプ(25769803777 = IPv4; 25769803778 = IPv6)

handled

string

任意

検出が処理されたかどうかを示します

arrow_down_business FilteredWebsites_Eventログの例:

EnterpriseInspectorAlert_Event

ESET PROTECTはESET Enterprise InspectorアラームをSyslogに転送します。固有の属性は次のとおりです。

processname

string

任意

このアラームを発生させるプロセスの名前

username

string

任意

プロセスの所有者

rulename

string

任意

このアラームをトリガーするルールの名前

count

number

任意

前回のアラーム以降に生成されたこのタイプのアラート数

hash

string

任意

アラームのSHA1ハッシュ

eiconsolelink

string

任意

ESET Enterprise Inspectorコンソールのアラームへのリンク

eialarmid

string

任意

アラームリンクのID部分(^http.*/alarm/([0-9]+)$$1)

computer_severity_score

number

任意

コンピューター重要度スコア

severity_score

number

任意

ルール重要度スコア

arrow_down_business EnterpriseInspectorAlert_Eventログの例:

BlockedFiles_Event

ESET PROTECTはESET Enterprise InspectorブロックされたファイルをSyslogに転送します。固有の属性は次のとおりです。

hostname

string

任意

イベントのあるコンピューターのホスト名

processname

string

任意

イベントに関連付けられたプロセスの名前

username

string

任意

イベントに関連付けられたユーザーアカウントの名前

hash

string

任意

ブロックされたファイルのSHA1ハッシュ

object_uri

string

任意

オブジェクトURI

action

string

任意

実行されたアクション

firstseen

string

任意

そのコンピューターで初めて検出が特定された日時(日時形式)。

cause

string

任意

 

description

string

任意

ブロックされたファイルの説明

handled

string

任意

検出が処理されたかどうかを示します