الأحداث المصدرة إلى تنسيق JSON
يعد JSON تنسيقاً بسيطاً لتبادل البيانات. وهو يعتمد على مجموعة من مجموعات ثنائية مكونة من الاسم / القيمة وقائمة مُرتّبة من القيم.
أحداث تم تصديرها
يحتوي هذا القسم على تفاصيل حول التنسيق ومعنى السمات الخاصة بجميع الأحداث التي تم تصديرها. تكون رسالة الحدث في شكل كائن JSON مع بعض المفاتيح الإلزامية وبعض المفاتيح الاختيارية. سيحتوي كل حدث تم تصديره على المفتاح التالي:
event_type |
string |
|
نوع الأحداث التي تم تصديرها: |
|---|---|---|---|
ipv4 |
string |
اختياري |
عنوان IPv4 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. |
ipv6 |
string |
اختياري |
عنوان IPv6 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. |
source_uuid |
string |
|
UUID لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث. |
occurred |
string |
|
توقيت UTC لحدوث الحدث. التنسيق هو %d-%b-%Y %H:%M:%S |
severity |
string |
|
خطورة الحدث. القيم الممكنة (شكل الأقل خطورة إلى الأكثر خطورة) هي: خطأ تحذير إشعار معلومات CriticalFatal |
|
يتم الإبلاغ عن جميع أنواع الأحداث المدرجة أدناه بكل مستويات الخطورة إلى خادم Syslog. لتصفية سجلات الأحداث المرسلة إلى Syslog، أنشئ إعلام بفئة السجل باستخدام عامل تصفية محدد. |
المفاتيح المخصصة وفقاً لـ event_type:
Threat_Event
ستتم إعادة توجيه جميع أحداث الاكتشافات التي تم إنشاؤها من قبل نقاط النهاية المدارة إلى Syslog. المفتاح الخاص بحدث الاكتشاف:
threat_type |
string |
اختياري |
نوع الاكتشاف |
|---|---|---|---|
threat_name |
string |
اختياري |
اسم الاكتشاف |
threat_flags |
string |
اختياري |
العلامات المرتبطة بالاكتشاف |
scanner_id |
string |
اختياري |
مُعرّف الماسح |
scan_id |
string |
اختياري |
مُعرّف المسح |
engine_version |
string |
اختياري |
إصدار محرك المسح |
object_type |
string |
اختياري |
نوع الكائن المرتبط بهذا الحدث |
object_uri |
string |
اختياري |
URI للكائن |
action_taken |
string |
اختياري |
الإجراء المُتّخذ من قبل نقطة النهاية |
action_error |
string |
اختياري |
رسالة خطأ تظهر في حالة عدم نجاح "الإجراء" |
threat_handled |
bool |
اختياري |
يشير إلى ما إذا تم معالجة الاكتشاف أم لا |
need_restart |
bool |
اختياري |
ما إذا كانت هناك حاجة إلى إعادة التشغيل أم لا |
username |
string |
اختياري |
اسم حساب المستخدم المرتبط بالحدث |
processname |
string |
اختياري |
اسم العملية المرتبطة بالحدث |
circumstances |
string |
اختياري |
وصف مختصر لسبب الحدث |
hash |
string |
اختياري |
SHA1 مزيج دفق البيانات (الاكتشاف). |
string |
اختياري |
وقت وتاريخ العثور على الاكتشاف لأول مرة في هذا الجهاز. يستخدم ESET PROTECT تنسيقات تاريخ-وقت مختلفة لسمة firstseen (وأي سمة تاريخ-وقت أخرى) بناءً على تنسيق إخراج السجل (JSON أو LEEF):
|
FirewallAggregated_Event
يتم تجميع سجلات الأحداث التي تم إنشائها من خلال جدار حماية ESET عن طريق إدارة عامل ESET Management لتجنب إهدار النطاق الترددي في أثناء النسخ المتماثل لعامل ESET Management / خادم ESET PROTECT. المفتاح الخاص بحدث جدار الحماية:
event |
string |
اختياري |
اسم الحدث |
|---|---|---|---|
source_address |
string |
اختياري |
عنوان مصدر الحدث |
source_address_type |
string |
اختياري |
نوع عنوان مصدر الحدث |
source_port |
number |
اختياري |
منفذ مصدر الحدث |
target_address |
string |
اختياري |
عنوان وجهة الحدث |
target_address_type |
string |
اختياري |
نوع عنوان وجهة الحدث |
target_port |
number |
اختياري |
منفذ وجهة الحدث |
protocol |
string |
اختياري |
البروتوكول |
account |
string |
اختياري |
اسم حساب المستخدم المرتبط بالحدث |
process_name |
string |
اختياري |
اسم العملية المرتبطة بالحدث |
rule_name |
string |
اختياري |
اسم القاعدة |
rule_id |
string |
اختياري |
مُعرّف القاعدة |
inbound |
bool |
اختياري |
ما إذا كان الاتصال وارداً أم لا |
threat_name |
string |
اختياري |
اسم الاكتشاف |
aggregate_count |
number |
اختياري |
كم عدد الرسائل نفسها تحديداً التي تم إنشاؤها من خلال نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين خادم ESET PROTECT وعامل ESET Management مدير. |
action |
string |
اختياري |
تم الإجراء |
handled |
string |
اختياري |
يشير إلى ما إذا تم معالجة الاكتشاف أم لا |
مثال سجل FirewallAggregated_Event:
HIPSAggregated_Event
يتم تصفية الأحداث من "نظام منع اختراق المضيف" على الخطورة قبل أن يتم إرسالها كذلك كرسائل Syslog. لا يتم إرسال سوى الأحداث ذات مستويات الخطورة خطأ, حرج وفادح إلى Syslog. السمات المرتبطة بـ HIPS هي كالتالي:
application |
string |
اختياري |
اسم التطبيق |
|---|---|---|---|
operation |
string |
اختياري |
التشغيل |
target |
string |
اختياري |
الهدف |
action |
string |
اختياري |
تم الإجراء |
action_taken |
string |
اختياري |
الإجراء المُتّخذ من قبل نقطة النهاية |
rule_name |
string |
اختياري |
اسم القاعدة |
rule_id |
string |
اختياري |
مُعرّف القاعدة |
aggregate_count |
number |
اختياري |
كم عدد الرسائل نفسها تحديداً التي تم إنشاؤها من خلال نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين خادم ESET PROTECT وعامل ESET Management مدير. |
handled |
string |
اختياري |
يشير إلى ما إذا تم معالجة الاكتشاف أم لا |
مثال سجل HipsAggregated_Event:
Audit_Event
يقوم ESET PROTECT بإعادة توجيه رسائل سجل التدقيق الداخلي للخادم إلى Syslog. السمات المعينة هي على النحو التالي:
domain |
string |
اختياري |
مجال سجل التدقيق |
|---|---|---|---|
action |
string |
اختياري |
يتم اتخاذ الإجراء |
target |
string |
اختياري |
إجراء الهدف يعمل على |
detail |
string |
اختياري |
وصف مفصل للإجراء |
user |
string |
اختياري |
مستخدم الأمان متضمن |
result |
string |
اختياري |
نتيجة الإجراء |
FilteredWebsites_Event
ESET PROTECT يعيد توجيه مواقع الويب التي تمت تصفيتها (اكتشافاتحماية الويب) إلى Syslog. السمات المعينة هي على النحو التالي:
hostname |
string |
اختياري |
اسم المضيف لجهاز الكمبيوتر مع الحدث |
processname |
string |
اختياري |
اسم العملية المرتبطة بالحدث |
username |
string |
اختياري |
اسم حساب المستخدم المرتبط بالحدث |
hash |
string |
اختياري |
SHA1 تجزئة الكائن الذي تمت تصفيته |
event |
string |
اختياري |
نوع الحدث |
rule_id |
string |
اختياري |
مُعرّف القاعدة |
action_taken |
string |
اختياري |
تم الإجراء |
scanner_id |
string |
اختياري |
مُعرّف الماسح |
object_uri |
string |
اختياري |
URI للكائن |
target_address |
string |
اختياري |
عنوان وجهة الحدث |
target_address_type |
string |
اختياري |
نوع عنوان وجهة الحدث (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
اختياري |
يشير إلى ما إذا تم معالجة الاكتشاف أم لا |
مثال سجل FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT يعيد توجيه تنبيهات ESET Enterprise Inspector إلى Syslog. السمات المعينة هي على النحو التالي:
processname |
string |
اختياري |
اسم العملية التي تسبب هذا الإنذار |
|---|---|---|---|
username |
string |
اختياري |
صاحب العملية |
rulename |
string |
اختياري |
اسم القاعدة التي تشغل هذا الإنذار |
count |
number |
اختياري |
عدد التنبيهات من هذا النوع التي تم إنشاؤها من آخر إنذار |
hash |
string |
اختياري |
SHA1 تجزئة الإنذار |
eiconsolelink |
string |
اختياري |
ربط إلى الإنذار الموجود في وحدة تحكم ESET Enterprise Inspector |
eialarmid |
string |
اختياري |
معرف الجزء الفرعي لرابط الإنذار ($1 في ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
number |
اختياري |
درجة خطورة جهاز الكمبيوتر |
severity_score |
number |
اختياري |
درجة خطورة القاعدة |
مثال سجل EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT يعيد توجيه ملفات ESET Enterprise Inspector المحظورة إلى Syslog. السمات المعينة هي على النحو التالي:
hostname |
string |
اختياري |
اسم المضيف لجهاز الكمبيوتر مع الحدث |
processname |
string |
اختياري |
اسم العملية المرتبطة بالحدث |
username |
string |
اختياري |
اسم حساب المستخدم المرتبط بالحدث |
hash |
string |
اختياري |
SHA1 تجزئة الملف المحظور |
object_uri |
string |
اختياري |
URI للكائن |
action |
string |
اختياري |
تم الإجراء |
firstseen |
string |
اختياري |
وقت وتاريخ العثور على الاكتشاف لأول مرة في هذا الجهاز (تنسيق التاريخ والوقت). |
cause |
string |
اختياري |
|
description |
string |
اختياري |
وصف الملف المحظور |
handled |
string |
اختياري |
يشير إلى ما إذا تم معالجة الاكتشاف أم لا |