Export von Ereignissen im JSON-Format
JSON ist ein schlankes Format für den Austausch von Daten. Dieses Format verwendet eine Sammlung von Name-Wert-Paaren und eine geordnete Liste von Werten.
Exportierte Ereignisse
Dieser Abschnitt enthält Details zu Format und Bedeutung der Attribute aller exportierten Ereignisse. Die Ereignisnachricht wird als JSON-Objekt mit Pflicht- und optionalen Schlüsseln formatiert. Jedes exportierte Ereignis enthält den folgenden Schlüssel:
event_type |
string |
|
Typ der exportierten Ereignisse: |
---|---|---|---|
ipv4 |
string |
optional |
IPv4-Adresse des Computers, der das Ereignis generiert hat. |
ipv6 |
string |
optional |
IPv6-Adresse des Computers, der das Ereignis generiert hat. |
source_uuid |
string |
|
UUID des Computers, der das Ereignis generiert hat. |
occurred |
string |
|
UTC-Zeitpunkt, zu dem das Ereignis aufgetreten ist. Format: %d-%b-%Y %H:%M:%S |
severity |
string |
|
Schweregrad des Ereignisses. Mögliche Werte (vom niedrigsten zum höchsten Schweregrad): Information Notice Warning Error Critical Fatal |
Alle unten aufgelisteten Ereignistypen mit allen Schweregraden werden an den Syslog-Server gemeldet. Um die an Syslog gesendeten Ereignis-Logs zu filtern, wählen Sie Eine Benachrichtigung für die Log-Kategorie erstellen mit einem definierten Filter. |
Benutzerdefinierte Schlüssel gemäß event_type:
Threat_Event
Alle von verwalteten Endpunkten generierten Ereignisse werden an Syslog weitergeleitet. Spezifische Schlüssel für Ereignisse:
threat_type |
string |
optional |
Ereignisart |
---|---|---|---|
threat_name |
string |
optional |
Ereignisname |
threat_flags |
string |
optional |
Ereignisbezogene Flags |
scanner_id |
string |
optional |
Scanner-ID |
scan_id |
string |
optional |
Scan-ID |
engine_version |
string |
optional |
Version des Prüfmoduls |
object_type |
string |
optional |
Art des Objekts, auf sich das Ereignis bezieht |
object_uri |
string |
optional |
Objekt-URI |
action_taken |
string |
optional |
Auf dem Endpunkt ausgeführte Aktion |
action_error |
string |
optional |
Fehlermeldung, falls die Aktion nicht erfolgreich war |
threat_handled |
bool |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
need_restart |
bool |
optional |
Gibt an, ob ein Neustart erforderlich ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
circumstances |
string |
optional |
Kurze Beschreibung der Ursache des Ereignisses |
hash |
string |
optional |
SHA1-Hash des Datenstroms (Ereignis). |
string |
optional |
Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer. Das von ESET PROTECT verwendete Datums- und Zeitformat für das firstseen-Attribut (und andere Datums- und Uhrzeitattribute) hängt vom Log-Ausgabeformat ab (JSON oder LEEF): •JSON formatieren"%d-%b-%Y %H:%M:%S" •LEEF formatieren"%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
Die von ESET Firewall generierten Ereignis-Logs werden von dem verwaltenden ESET Management Agenten aggregiert, um die benötigte Bandbreite für die Replikation zwischen ESET Management Agent und ESET PROTECT Server zu reduzieren. Spezifische Schlüssel für Firewall-Ereignisse:
event |
string |
optional |
Ereignisname |
---|---|---|---|
source_address |
string |
optional |
Adresse der Ereignisquelle |
source_address_type |
string |
optional |
Art der Adresse der Ereignisquelle |
source_port |
Nummer |
optional |
Port der Ereignisquelle |
target_address |
string |
optional |
Adresse des Ereignisziels |
target_address_type |
string |
optional |
Art der Adresse des Ereignisziels |
target_port |
Nummer |
optional |
Port des Ereignisziels |
protocol |
string |
optional |
Protokoll |
account |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
process_name |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
rule_name |
string |
optional |
Regelname |
rule_id |
string |
optional |
Regel-ID |
inbound |
bool |
optional |
Gibt an, ob die Verbindung eingehend war |
threat_name |
string |
optional |
Ereignisname |
aggregate_count |
Nummer |
optional |
Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Server und verwaltendem ESET Management Agent generiert wurden |
action |
string |
optional |
Ausgeführte Aktion |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„FirewallAggregated_Event“-Log-Beispiel:
HIPSAggregated_Event
Ereignisse aus dem Host-based Intrusion Prevention System werden zunächst nach Schweregrad gefiltert und anschließend als Syslog-Nachrichten weitergeleitet. Nur Ereignisse der Schweregrade Error, Critical und Fatal werden an Syslog weitergeleitet. HIPS-spezifische Attribute:
application |
string |
optional |
Anwendungsname |
---|---|---|---|
operation |
string |
optional |
Vorgang |
target |
string |
optional |
Ziel |
action |
string |
optional |
Ausgeführte Aktion |
action_taken |
string |
optional |
Auf dem Endpunkt ausgeführte Aktion |
rule_name |
string |
optional |
Regelname |
rule_id |
string |
optional |
Regel-ID |
aggregate_count |
Nummer |
optional |
Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Server und verwaltendem ESET Management Agent generiert wurden |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„HipsAggregated_Event“-Log-Beispiel:
Audit_Event
ESET PROTECT leitet die internen Audit-Log-Nachrichten des Servers an Syslog weiter. Spezifische Attribute:
domain |
string |
optional |
Audit-Log-Domäne |
---|---|---|---|
action |
string |
optional |
Ausgeführte Aktion |
target |
string |
optional |
Ziel der Aktion |
detail |
string |
optional |
Ausführliche Beschreibung der Aktion |
user |
string |
optional |
Beteiligter Sicherheitsbenutzer |
result |
string |
optional |
Resultat der Aktion |
FilteredWebsites_Event
ESET PROTECT leitet die gefilterten Websites (Web-Schutz-Ereignisse) an Syslog weiter. Spezifische Attribute:
hostname |
string |
optional |
Hostname des Computers mit dem Ereignis |
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
hash |
string |
optional |
SHA1-Hash des gefilterten Objekts |
event |
string |
optional |
Ereignistyp |
rule_id |
string |
optional |
Regel-ID |
action_taken |
string |
optional |
Ausgeführte Aktion |
scanner_id |
string |
optional |
Scanner-ID |
object_uri |
string |
optional |
Objekt-URI |
target_address |
string |
optional |
Adresse des Ereignisziels |
target_address_type |
string |
optional |
Art der Adresse des Ereignisziels (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„FilteredWebsites_Event“-Log-Beispiel:
EnterpriseInspectorAlert_Event
ESET PROTECT leitet ESET Enterprise Inspector-Alarmmeldungen an Syslog weiter. Spezifische Attribute:
processname |
string |
optional |
Name des Prozesses, der den Alarm ausgelöst hat |
---|---|---|---|
username |
string |
optional |
Eigentümer des Prozesses |
rulename |
string |
optional |
Name der Regel, die den Alarm ausgelöst hat |
count |
Nummer |
optional |
Anzahl der Alarmmeldungen von diesem Typ seit dem letzten Alarm |
hash |
string |
optional |
SHA1-Hash des Alarms |
eiconsolelink |
string |
optional |
Link zum Alarm in der ESET Enterprise Inspector-Konsole |
eialarmid |
string |
optional |
ID-Komponente des Alarmlinks ($1 in ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
Nummer |
optional |
Computer-Schweregradsbewertung |
severity_score |
Nummer |
optional |
Regel-Schweregradsbewertung |
„EnterpriseInspectorAlert_Event“-Log-Beispiel:
BlockedFiles_Event
ESET PROTECT leitet von ESET Enterprise Inspector blockierte Dateien an Syslog weiter. Spezifische Attribute:
hostname |
string |
optional |
Hostname des Computers mit dem Ereignis |
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
hash |
string |
optional |
SHA1-Hash der blockierten Datei |
object_uri |
string |
optional |
Objekt-URI |
action |
string |
optional |
Ausgeführte Aktion |
firstseen |
string |
optional |
Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer (Datums- und Uhrzeitformat). |
cause |
string |
optional |
|
description |
string |
optional |
Beschreibung der blockierten Datei |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |