Événements exportés au format JSON
JSON est un format léger pour l'échange de données. Il repose sur un groupe de paires nom/valeur et une liste classée de valeurs.
Événements exportés
Cette section contient des détails sur le format et la signification des attributs de tous les événements exportés. Le message d'événement prend la forme d'un objet JSON avec quelques clés obligatoires et facultatives. Chaque événement exporté contiendra la clé suivante :
event_type |
string |
|
Type d'événements exportés : |
|---|---|---|---|
ipv4 |
string |
facultatif |
Adresse IPv4 de l'ordinateur générant l'événement. |
ipv6 |
string |
facultatif |
Adresse IPv6 de l'ordinateur générant l'événement. |
source_uuid |
string |
|
UUID de l'ordinateur générant l'événement. |
occurred |
string |
|
Heure UTC d'occurrence de l'événement. Le format est %d-%b-%Y %H:%M:%S |
severity |
string |
|
Gravité de l'événement. Les valeurs possibles (du moins grave au plus grave) sont les suivantes : Information Notice Warning Error CriticalFatal |
|
Tous les types d’événements répertoriés ci-dessous avec tous les niveaux de gravité sont signalés au serveur Syslog. Pour filtrer les logs d'évènement envoyés à Syslog, créez une notification de catégorie de journaux avec un filtre défini. |
Clés personnalisées selon event_type :
Threat_Event
Tous les événements de détection générés par des endpoints gérés seront transférés à Syslog. Clé spécifique à un événement de détection :
threat_type |
string |
facultatif |
Type de détection |
|---|---|---|---|
threat_name |
string |
facultatif |
Nom de la détection |
threat_flags |
string |
facultatif |
Indicateurs liés à des détections |
scanner_id |
string |
facultatif |
ID d'analyseur |
scan_id |
string |
facultatif |
ID d'analyse |
engine_version |
string |
facultatif |
Version du moteur d'analyse |
object_type |
string |
facultatif |
Type d'objet lié à cet événement |
object_uri |
string |
facultatif |
URI de l'objet |
action_taken |
string |
facultatif |
Action prise par le point de terminaison |
action_error |
string |
facultatif |
Message d'erreur en cas d'échec de « l'action » |
threat_handled |
bool |
facultatif |
Indique si la détection a été gérée ou non |
need_restart |
bool |
facultatif |
Indique si un redémarrage est nécessaire ou non |
username |
string |
facultatif |
Nom du compte utilisateur associé à l'événement |
processname |
string |
facultatif |
Nom du processus associé à l'événement |
circumstances |
string |
facultatif |
Brève description de la cause de l'événement |
hash |
string |
facultatif |
Hachage SHA1 du flux de données (détection). |
string |
facultatif |
Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine. ESET PROTECT utilise des formats date-heure différents pour l'attribut firstseen (et tout autre attribut date-heure) selon le format de sortie du journal (JSON ou LEEF) : •JSON format: "%d-%b-%Y %H:%M:%S" •LEEF format: "%b %d %Y %H:%M:%S" |
Exemple de journal Threat_Event :
FirewallAggregated_Event
Les logs d'évènement générés par le pare-feu d'ESET sont agrégés par le gestionnaire ESET Management Agent pour éviter le gaspillage de bande passante pendant la réplication d'ESET Management Agent/ESET PROTECT Server. Clé spécifique à un événement de pare-feu :
event |
string |
facultatif |
Nom de l'événement |
|---|---|---|---|
source_address |
string |
facultatif |
Adresse de la source de l'événement |
source_address_type |
string |
facultatif |
Type d'adresse de la source de l'événement |
source_port |
number |
facultatif |
Port de la source de l'événement |
target_address |
string |
facultatif |
Adresse de la destination de l'événement |
target_address_type |
string |
facultatif |
Type d'adresse de la destination de l'événement |
target_port |
number |
facultatif |
Port de la destination de l'événement |
protocol |
string |
facultatif |
Protocole |
account |
string |
facultatif |
Nom du compte utilisateur associé à l'événement |
process_name |
string |
facultatif |
Nom du processus associé à l'événement |
rule_name |
string |
facultatif |
Nom de la règle |
rule_id |
string |
facultatif |
ID de règle |
inbound |
bool |
facultatif |
Indique si la connexion était entrante ou non |
threat_name |
string |
facultatif |
Nom de la détection |
aggregate_count |
number |
facultatif |
Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre ESET PROTECT Server et le gestionnaire ESET Management Agent. |
action |
string |
facultatif |
Action entreprise |
handled |
string |
facultatif |
Indique si la détection a été gérée ou non |
Exemple de journal FirewallAggregated_Event :
HIPSAggregated_Event
Les événements du système HIPS (Host-based Intrusion Prevention System) sont filtrés sur la gravité avant d'être transmis plus avant en tant que messages Syslog. Seuls les événements dont les niveau de gravité sont Error, Critical et Fatal sont envoyés à Syslog. Les attributs spécifiques à HIPS sont les suivants :
application |
string |
facultatif |
Nom de l'application |
|---|---|---|---|
operation |
string |
facultatif |
Opération |
target |
string |
facultatif |
Cible |
action |
string |
facultatif |
Action entreprise |
action_taken |
string |
facultatif |
Action prise par le point de terminaison |
rule_name |
string |
facultatif |
Nom de la règle |
rule_id |
string |
facultatif |
ID de règle |
aggregate_count |
number |
facultatif |
Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre ESET PROTECT Server et le gestionnaire ESET Management Agent. |
handled |
string |
facultatif |
Indique si la détection a été gérée ou non |
Exemple de journal HipsAggregated_Event :
Audit_Event
ESET PROTECT transfère les messages du journal d'audit interne du serveur à Syslog. Les attributs spécifiques sont les suivants :
domain |
string |
facultatif |
Domaine du journal d'audit |
|---|---|---|---|
action |
string |
facultatif |
Action exécutée |
target |
string |
facultatif |
L'action cible est effectuée sur |
detail |
string |
facultatif |
Description détaillée de l'action |
user |
string |
facultatif |
Utilisateur de sécurité impliqué |
result |
string |
facultatif |
Résultat de l'action |
Exemple de journal Audit_Event log :
FilteredWebsites_Event
ESET PROTECT transfère les sites Web filtrés (détections de la protection Web) vers Syslog. Les attributs spécifiques sont les suivants :
hostname |
string |
facultatif |
Nom d’hôte de l’ordinateur avec l’événement |
processname |
string |
facultatif |
Nom du processus associé à l'événement |
username |
string |
facultatif |
Nom du compte utilisateur associé à l'événement |
hash |
string |
facultatif |
Hachage de l'objet filtré SHA1 |
event |
string |
facultatif |
Type d'événement |
rule_id |
string |
facultatif |
ID de règle |
action_taken |
string |
facultatif |
Action entreprise |
scanner_id |
string |
facultatif |
ID d'analyseur |
object_uri |
string |
facultatif |
URI de l'objet |
target_address |
string |
facultatif |
Adresse de la destination de l'événement |
target_address_type |
string |
facultatif |
Type d'adresse de la destination de l'événement (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
facultatif |
Indique si la détection a été gérée ou non |
Exemple de journal FilteredWebsites_Event :
EnterpriseInspectorAlert_Event
ESET PROTECT transfère les alarmes ESET Enterprise Inspector à Syslog. Les attributs spécifiques sont les suivants :
processname |
string |
facultatif |
Nom du processus entraînant cette alarme |
|---|---|---|---|
username |
string |
facultatif |
Détenteur du processus |
rulename |
string |
facultatif |
Nom de la règle déclenchant cette alarme |
count |
number |
facultatif |
Nombre d'alertes de ce type générées depuis la dernière alarme |
hash |
string |
facultatif |
Hachage de l'alarme SHA1 |
eiconsolelink |
string |
facultatif |
Lien vers l'alarme dans la console ESET Enterprise Inspector |
eialarmid |
string |
facultatif |
Sous-partie de l'ID du lien de l'alarme ($1 dans ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
number |
facultatif |
Score de gravité de l’ordinateur |
severity_score |
number |
facultatif |
Score de gravité de la règle |
Exemple de journal EnterpriseInspectorAlert_Event :
BlockedFiles_Event
ESET PROTECT transfère les fichiers bloqués ESET Enterprise Inspector vers Syslog. Les attributs spécifiques sont les suivants :
hostname |
string |
facultatif |
Nom d’hôte de l’ordinateur avec l’événement |
processname |
string |
facultatif |
Nom du processus associé à l'événement |
username |
string |
facultatif |
Nom du compte utilisateur associé à l'événement |
hash |
string |
facultatif |
Hachage du fichier bloqué SHA1 |
object_uri |
string |
facultatif |
URI de l'objet |
action |
string |
facultatif |
Action entreprise |
firstseen |
string |
facultatif |
Date et heure auxquelles la détection a été effectuée pour la première fois sur cette machine (format de date et heure). |
cause |
string |
facultatif |
|
description |
string |
facultatif |
Description du fichier bloqué |
handled |
string |
facultatif |
Indique si la détection a été gérée ou non |