Eventos exportados a formato JSON
JSON en un formato ligero para el intercambio de datos. Se basa en la recopilación de pares de nombre/valor y una lista ordenada de valores.
Eventos exportados
Esta sección contiene detalles sobre el formato y el significado de los atributos de todos los eventos exportados. El mensaje del evento presenta el formato de un objeto JSON con algunas claves obligatorias y otras opcionales. Cada evento exportado contendrá la siguiente clave:
event_type |
cadena |
|
Tipo de eventos exportados: |
|---|---|---|---|
ipv4 |
cadena |
opcional |
Dirección IPv4 del ordenador que genera el evento. |
ipv6 |
cadena |
opcional |
Dirección IPv6 del ordenador que genera el evento. |
source_uuid |
cadena |
|
UUID del ordenador que genera el evento. |
occurred |
cadena |
|
Hora UTC en la que el evento tuvo lugar. Tiene el formato %d-%b-%Y %H:%M:%S |
severity |
cadena |
|
Gravedad del evento. Los posibles valores (de menos grave a más grave) son: Information Notice Warning Error CriticalFatal |
|
Todos los tipos de sucesos indicados a continuación con todos los niveles de gravedad se registran en el servidor de Syslog. Para filtrar los registros de sucesos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido. |
Claves personalizadas según event_type:
Threat_Event
Todos los eventos de detección generados por los equipos administrados se enviarán al Syslog. Clave específica del evento de detección:
threat_type |
cadena |
opcional |
Tipo de detección |
|---|---|---|---|
threat_name |
cadena |
opcional |
Nombre de la detección |
threat_flags |
cadena |
opcional |
Marcadores relacionados con la detección |
scanner_id |
cadena |
opcional |
ID del escáner |
scan_id |
cadena |
opcional |
ID del análisis |
engine_version |
cadena |
opcional |
Versión del motor de análisis |
object_type |
cadena |
opcional |
Tipo de objeto relacionado con este evento |
object_uri |
cadena |
opcional |
URL del objeto |
action_taken |
cadena |
opcional |
Acción realizada por el punto de acceso |
action_error |
cadena |
opcional |
Mensaje de error en caso de que la "acción" no se completara correctamente |
threat_handled |
bool |
opcional |
Indica si la detección se gestionó o no |
need_restart |
bool |
opcional |
Indica si es necesario reiniciar o no |
username |
cadena |
opcional |
Nombre de la cuenta de usuario relacionada con el evento |
processname |
cadena |
opcional |
Nombre del proceso relacionado con el evento |
circumstances |
cadena |
opcional |
Breve descripción de la causa del evento |
hash |
cadena |
opcional |
Hash SHA1 de la secuencia de datos (detección). |
cadena |
opcional |
Hora y fecha en las que se detectó la detección por primera vez en ese equipo. ESET PROTECT utiliza diferentes formatos de fecha y hora para el atributo firstseen (y para cualquier otro atributo de fecha y hora) dependiendo del formato de salida del registro (JSON o LEEF): •JSON formato:"%d-%b-%Y %H:%M:%S" •LEEF formato:"%b %d %Y %H:%M:%S" |
Ejemplo de registro de Threat_Event:
FirewallAggregated_Event
Los registros de sucesos generados por el cortafuegos de ESET los agrega el ESET Management Agent encargado de la gestión para no desperdiciar ancho de banda durante la replicación ESET Management Agent/ESET PROTECT Server. Clave específica del evento de cortafuegos:
event |
cadena |
opcional |
Nombre del evento |
|---|---|---|---|
source_address |
cadena |
opcional |
Dirección del origen del evento |
source_address_type |
cadena |
opcional |
Tipo de dirección del origen del evento |
source_port |
número |
opcional |
Puerto del origen del evento |
target_address |
cadena |
opcional |
Dirección del destino del evento |
target_address_type |
cadena |
opcional |
Tipo de dirección del destino del evento |
target_port |
número |
opcional |
Puerto del destino del evento |
protocol |
cadena |
opcional |
Protocolo |
account |
cadena |
opcional |
Nombre de la cuenta de usuario relacionada con el evento |
process_name |
cadena |
opcional |
Nombre del proceso relacionado con el evento |
rule_name |
cadena |
opcional |
Nombre de la regla |
rule_id |
cadena |
opcional |
ID de la regla |
inbound |
bool |
opcional |
Indica si la conexión fue entrante o no |
threat_name |
cadena |
opcional |
Nombre de la detección |
aggregate_count |
número |
opcional |
El número de los mensajes exactamente iguales generados por el punto de acceso entre dos replicaciones consecutivas entre el ESET PROTECT Server y el ESET Management Agent encargado de la gestión. |
action |
cadena |
opcional |
Acción realizada |
handled |
cadena |
opcional |
Indica si la detección se gestionó o no |
Ejemplo de registro de FirewallAggregated_Event:
HIPSAggregated_Event
Los eventos procedentes del Sistema de prevención de intrusiones del host se filtran por gravedad antes de que se envíen posteriormente como mensajes de Syslog. Solo los eventos que tengan los niveles de severity Error, Critical y Fatal se envían a Syslog. Los atributos específicos del HIPS son los siguientes:
application |
cadena |
opcional |
Nombre de la aplicación |
|---|---|---|---|
operation |
cadena |
opcional |
Operación |
target |
cadena |
opcional |
Destino |
action |
cadena |
opcional |
Acción realizada |
action_taken |
cadena |
opcional |
Acción realizada por el punto de acceso |
rule_name |
cadena |
opcional |
Nombre de la regla |
rule_id |
cadena |
opcional |
ID de la regla |
aggregate_count |
número |
opcional |
El número de los mensajes exactamente iguales generados por el punto de acceso entre dos replicaciones consecutivas entre el ESET PROTECT Server y el ESET Management Agent encargado de la gestión. |
handled |
cadena |
opcional |
Indica si la detección se gestionó o no |
Ejemplo de registro de HipsAggregated_Event:
Audit_Event
ESET PROTECT reenvía los mensajes del registro de auditoría interno de Server a Syslog. Los atributos específicos son los siguientes:
domain |
cadena |
opcional |
Dominio del registro de auditoría |
|---|---|---|---|
action |
cadena |
opcional |
Acción que se está realizando |
target |
cadena |
opcional |
Destino en el que se está realizando la acción |
detail |
cadena |
opcional |
Descripción detallada de la acción |
user |
cadena |
opcional |
Usuario de seguridad implicado |
result |
cadena |
opcional |
Resultado de la acción |
Ejemplo de registro de Audit_Event:
FilteredWebsites_Event
ESET PROTECT reenvía los sitios web filtrados (detecciones de Protección web) a Syslog. Los atributos específicos son los siguientes:
hostname |
cadena |
opcional |
Nombre de cliente del ordenador con el suceso |
processname |
cadena |
opcional |
Nombre del proceso relacionado con el evento |
username |
cadena |
opcional |
Nombre de la cuenta de usuario relacionada con el evento |
hash |
cadena |
opcional |
Hash SHA1 del objeto filtrado |
event |
cadena |
opcional |
Tipo de suceso |
rule_id |
cadena |
opcional |
ID de la regla |
action_taken |
cadena |
opcional |
Acción realizada |
scanner_id |
cadena |
opcional |
ID del escáner |
object_uri |
cadena |
opcional |
URL del objeto |
target_address |
cadena |
opcional |
Dirección del destino del evento |
target_address_type |
cadena |
opcional |
Tipo de dirección del destino del evento 25769803777 = IPv4; 25769803778 = IPv6) |
handled |
cadena |
opcional |
Indica si la detección se gestionó o no |
Ejemplo de registro de FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT reenvía las alarmas de ESET Enterprise Inspector al Syslog. Los atributos específicos son los siguientes:
processname |
cadena |
opcional |
Nombre del proceso que provoca esta alarma |
|---|---|---|---|
username |
cadena |
opcional |
Propietario del proceso |
rulename |
cadena |
opcional |
Nombre de la regla que activa esta alarma |
count |
número |
opcional |
Número de alertas de este tipo generadas desde la última alerta |
hash |
cadena |
opcional |
Hash SHA1 de la alarma |
eiconsolelink |
cadena |
opcional |
Enlace a la alarma en la consola de ESET Enterprise Inspector |
eialarmid |
cadena |
opcional |
Subparte del identificador del vínculo de alarma ($1 en ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
número |
opcional |
Nivel de gravedad del ordenador |
severity_score |
número |
opcional |
Nivel de gravedad de la regla |
Ejemplo de registro de EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT reenvía los archivos bloqueados por ESET Enterprise Inspector a Syslog. Los atributos específicos son los siguientes:
hostname |
cadena |
opcional |
Nombre de cliente del ordenador con el suceso |
processname |
cadena |
opcional |
Nombre del proceso relacionado con el evento |
username |
cadena |
opcional |
Nombre de la cuenta de usuario relacionada con el evento |
hash |
cadena |
opcional |
Hash SHA1 del archivo bloqueado |
object_uri |
cadena |
opcional |
URL del objeto |
action |
cadena |
opcional |
Acción realizada |
firstseen |
cadena |
opcional |
Hora y fecha en las que se detectó por primera vez en ese equipo (formato de fecha y hora). |
cause |
cadena |
opcional |
|
description |
cadena |
opcional |
Descripción del archivo bloqueado |
handled |
cadena |
opcional |
Indica si la detección se gestionó o no |