˄˅

Događaji izvezeni u format JSON

JSONjednostavan je format za razmjenu podataka. Temelji se na skupu parova naziva/vrijednosti i poredanog popisa vrijednosti.

Izvezeni događaji

Ovaj odjeljak sadrži pojedinosti o formatu i značenju atributa svih izvezenih događaja. Poruka događaja ima oblik JSON objekta s nekim obaveznim i nekim dodatnim ključevima. Svaki izvezeni događaj sadržavat će sljedeći ključ:

event_type	niz		Vrsta izvezenih događaja: •Threat_Event •FirewallAggregated_Event •HipsAggregated_Event •Audit_Event •FilteredWebsites_Event •EnterpriseInspectorAlert_Event •BlockedFiles_Event
ipv4	niz	nije obavezno	IPv4 adresa računala koje generira događaj.
ipv6	niz	nije obavezno	IPv6 adresa računala koje generira događaj.
source_uuid	niz		UUID računala koje generira događaj.
occurred	niz		UTC vrijeme zbivanja događaja. Format je %d-%b-%Y %H:%M:%S
severity	niz		Razina ozbiljnosti događaja. Moguće su sljedeće vrijednosti (od najmanje ozbiljne do najozbiljnije): Informacija Obavijest Upozorenje Pogreška Kritična pogreška Kobna pogreška

Sve niže navedene vrste događaja sa svim razinama ozbiljnosti se prijavljuju Syslog serveru. Da biste filtrirali dnevnike događaja poslane u Syslog, stvorite obavijest o kategoriji dnevnika s definiranim filtrom.

Prilagođeni ključevi prema stavci event_type:

Threat_Event

Svi događaji prijetnji koje generiraju upravljana računala prosljeđuju se Syslogu. Poseban ključ događaja prijetnji:

threat_type	niz	nije obavezno	Vrsta prijetnje
threat_name	niz	nije obavezno	Naziv prijetnje
threat_flags	niz	nije obavezno	Zastavice koje se odnose na prijetnje
scanner_id	niz	nije obavezno	ID skenera
scan_id	niz	nije obavezno	ID skeniranja
engine_version	niz	nije obavezno	Verzija sustava za skeniranje
object_type	niz	nije obavezno	Vrsta objekta povezanog s ovim događajem
object_uri	niz	nije obavezno	URI objekta
action_taken	niz	nije obavezno	Radnja koju poduzima Endpoint
action_error	niz	nije obavezno	Poruka o pogrešci u slučaju kada "radnja" nije uspješna
threat_handled	bool	nije obavezno	Označava je li prijetnja riješena
need_restart	bool	nije obavezno	Označava je li potrebno ponovno pokretanje
username	niz	nije obavezno	Naziv korisničkog računa povezanog s događajem
processname	niz	nije obavezno	Naziv procesa povezanog s događajem
circumstances	niz	nije obavezno	Kratak opis uzroka događaja
hash	niz	nije obavezno	SHA1 hash protoka podataka (o prijetnjama).
firstseen	niz	nije obavezno	Vrijeme i datum kad je prijetnja prvi put otkrivena na tom računalu. ESET PROTECT upotrebljava različite formate datuma i vremena za atribut firstseen (i sve druge atribute datuma i vremena) ovisno o izlaznom formatu dnevnika (JSON ili LEEF): •JSON format: "%d-%b-%Y %H:%M:%S" •LEEF format: "%b %d %Y %H:%M:%S"

Primjer dnevnika Threat_Event:

FirewallAggregated_Event

Dnevnike događaja koje je stvorio ESET Firewall prikuplja izvršni ESET Management agent da bi se izbjeglo trošenje propusnosti veze tijekom replikacije ESET Management agenta / ESET PROTECT servera. Posebni ključ događaja firewalla:

event	niz	nije obavezno	Naziv događaja
source_address	niz	nije obavezno	Adresa izvora događaja
source_address_type	niz	nije obavezno	Vrsta adrese izvora događaja
source_port	broj	nije obavezno	Port izvora događaja
target_address	niz	nije obavezno	Adresa odredišta događaja
target_address_type	niz	nije obavezno	Vrsta adrese odredišta događaja
target_port	broj	nije obavezno	Port odredišta događaja
protocol	niz	nije obavezno	Protokol
account	niz	nije obavezno	Naziv korisničkog računa povezanog s događajem
process_name	niz	nije obavezno	Naziv procesa povezanog s događajem
rule_name	niz	nije obavezno	Naziv pravila
rule_id	niz	nije obavezno	ID pravila
inbound	bool	nije obavezno	Označava je li veza bila ulazna
threat_name	niz	nije obavezno	Naziv prijetnje
aggregate_count	broj	nije obavezno	Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESET PROTECT servera i izvršnog ESET Management agenta.
action	niz	nije obavezno	Poduzeta radnja
handled	niz	nije obavezno	Označava je li prijetnja riješena

Primjer dnevnika FirewallAggregated_Event:

HIPSAggregated_Event

Događaji iz sustava za sprečavanje upada temeljenog na hostu filtriraju se s obzirom na ozbiljnost prije nego što se pošalju dalje kao Syslog poruke. Syslogu se šalju samo događaji koji imaju razinu ozbiljnosti Pogreška, Kritična pogreška i Kobna pogreška. Posebni su HIPS atributi sljedeći:

application	niz	nije obavezno	Naziv aplikacije
operation	niz	nije obavezno	Operacija
target	niz	nije obavezno	Objekt
action	niz	nije obavezno	Poduzeta radnja
action_taken	niz	nije obavezno	Radnja koju poduzima Endpoint
rule_name	niz	nije obavezno	Naziv pravila
rule_id	niz	nije obavezno	ID pravila
aggregate_count	broj	nije obavezno	Označava koliko je potpuno istih poruka generirao sigurnosni program između dviju uzastopnih replikacija između ESET PROTECT servera i izvršnog ESET Management agenta.
handled	niz	nije obavezno	Označava je li prijetnja riješena

Primjer dnevnika HipsAggregated_Event:

Audit_Event

ESET PROTECT prosljeđuje poruke internog dnevnika provjere servera Syslogu. Posebni su atributi sljedeći:

domain	niz	nije obavezno	Domena dnevnika provjere
action	niz	nije obavezno	Radnja koja se odvija
target	niz	nije obavezno	Ciljna radnja radi na
detail	niz	nije obavezno	Detaljni opis radnje
user	niz	nije obavezno	Korisnik zaštite koji je uključen
result	niz	nije obavezno	Rezultat radnje

Primjer dnevnika Audit_Event:

FilteredWebsites_Event

ESET PROTECT prosljeđuje filtrirane web stranice (prijetnje web zaštite) syslogu. Posebni su atributi sljedeći:

hostname	niz	nije obavezno	Naziv hosta računala s događajem
processname	niz	nije obavezno	Naziv procesa povezanog s događajem
username	niz	nije obavezno	Naziv korisničkog računa povezanog s događajem
hash	niz	nije obavezno	SHA1 hash filtriranog objekta
event	niz	nije obavezno	Vrsta događaja
rule_id	niz	nije obavezno	ID pravila
action_taken	niz	nije obavezno	Poduzeta radnja
scanner_id	niz	nije obavezno	ID skenera
object_uri	niz	nije obavezno	URI objekta
target_address	niz	nije obavezno	Adresa odredišta događaja
target_address_type	niz	nije obavezno	Vrsta adrese odredišta događaja (25769803777 = IPv4; 25769803778 = IPv6)
handled	niz	nije obavezno	Označava je li prijetnja riješena

Primjer dnevnika FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

ESET PROTECT prosljeđuje ESET Enterprise Inspector upozorenja syslogu. Posebni su atributi sljedeći:

processname	niz	nije obavezno	Naziv procesa koji uzrokuje upozorenje
username	niz	nije obavezno	Vlasnik procesa
rulename	niz	nije obavezno	Naziv pravila koje aktivira ovo upozorenje
count	broj	nije obavezno	Broj upozorenja ove vrste generiranih od posljednjeg upozorenja
hash	niz	nije obavezno	SHA1 hash upozorenja
eiconsolelink	niz	nije obavezno	Link na upozorenje u ESET Enterprise Inspector konzoli
eialarmid	niz	nije obavezno	ID poddio linka upozorenja ($1 u ^http.*/alarm/([0-9]+)$)
computer_severity_score	broj	nije obavezno	Rezultat ozbiljnosti računala
severity_score	broj	nije obavezno	Rezultat ozbiljnosti pravila

Primjer dnevnika EnterpriseInspectorAlert_Event:

BlockedFiles_Event

ESET PROTECT prosljeđuje ESET Enterprise Inspector blokirane datoteke syslogu. Posebni su atributi sljedeći:

hostname	niz	nije obavezno	Naziv hosta računala s događajem
processname	niz	nije obavezno	Naziv procesa povezanog s događajem
username	niz	nije obavezno	Naziv korisničkog računa povezanog s događajem
hash	niz	nije obavezno	SHA1 hash blokirane datoteke
object_uri	niz	nije obavezno	URI objekta
action	niz	nije obavezno	Poduzeta radnja
firstseen	niz	nije obavezno	Vrijeme i datum kad je prijetnja prvi put otkrivena na tom računalu (format vremena i datuma).
cause	niz	nije obavezno
description	niz	nije obavezno	Opis blokirane datoteke
handled	niz	nije obavezno	Označava je li prijetnja riješena

˄˅