Eventi esportati in formato JSON
JSON è un formato leggero per lo scambio di dati. È sviluppato su una raccolta di coppie di nomi/valori e su un elenco ordinato di valori.
Eventi esportati
Questa sezione contiene informazioni dettagliate sul formato e sul significato degli attributi di tutti gli eventi esportati. I messaggi relativi agli eventi si presentano sotto forma di oggetto JSON con alcune chiavi obbligatorie e alcune chiavi facoltative. Ciascun evento esportato conterrà la seguente chiave:
event_type |
stringa |
|
Tipo di eventi esportati: |
---|---|---|---|
ipv4 |
stringa |
facoltativo |
Indirizzo IPv4 del computer che genera l'evento. |
ipv6 |
stringa |
facoltativo |
Indirizzo IPv6 del computer che genera l'evento. |
source_uuid |
stringa |
|
UUID del computer che genera l'evento. |
occurred |
stringa |
|
Ora UTC di occorrenza dell'evento. Il formato è %d-%b-%Y %H:%M:%S |
severity |
stringa |
|
Gravità dell'evento. I valori possibili (dal meno grave al più grave) sono: Nota informativa avviso/errore CriticoIrreversibile |
Tutti i tipi di eventi elencati di seguito con tutti i livelli di gravità vengono segnalati al server Syslog. Per filtrare i rapporti degli eventi inviati a Syslog, creare una notifica della categoria di rapporti con un filtro definito. |
Chiavi personalizzate in base a event_type:
Threat_Event
Tutti gli eventi dei rilevamenti generati dagli endpoint gestiti saranno inoltrati a Syslog. Chiave specifica evento rilevamento:
threat_type |
stringa |
facoltativo |
Tipo di rilevamento |
---|---|---|---|
threat_name |
stringa |
facoltativo |
Nome del rilevamento |
threat_flags |
stringa |
facoltativo |
Contrassegni correlati al rilevamento |
scanner_id |
stringa |
facoltativo |
ID scanner |
scan_id |
stringa |
facoltativo |
ID controllo |
engine_version |
stringa |
facoltativo |
Versione del motore di controllo |
object_type |
stringa |
facoltativo |
Tipo di oggetto correlato a questo evento |
object_uri |
stringa |
facoltativo |
URI oggetto |
action_taken |
stringa |
facoltativo |
Azione intrapresa dall'endpoint |
action_error |
stringa |
facoltativo |
Messaggio di errore in caso di “azione” non eseguita correttamente |
threat_handled |
bool |
facoltativo |
Indica l'eventuale gestione del rilevamento |
need_restart |
bool |
facoltativo |
Indica l'eventuale necessità di un riavvio |
username |
stringa |
facoltativo |
Nome dell'account utente associato all'evento |
processname |
stringa |
facoltativo |
Nome del processo associato all'evento |
circumstances |
stringa |
facoltativo |
Breve descrizione della causa dell'evento |
hash |
stringa |
facoltativo |
Hash SHA1 del flusso di dati (rilevamento). |
stringa |
facoltativo |
Data e ora del primo rilevamento trovato su tale macchina. ESET PROTECT utilizza formati di data e ora differenti per l’attributo firstseen (e qualsiasi altro attributo data/ora) a seconda del formato del rapporto generato (JSON o LEEF): •JSON formato:"%d-%b-%Y %H:%M:%S" •LEEF formato:"%b %d %Y %H:%M:%S" |
Esempio di rapporto Threat_Event:
FirewallAggregated_Event
I rapporti eventi generati da ESET Firewall sono aggregati dall'agente ESET Management di gestione al fine di evitare un utilizzo non necessario della larghezza di banda durante la replica dell'agente ESET Management/server ESET PROTECT. Chiave specifica evento firewall:
event |
stringa |
facoltativo |
Nome evento |
---|---|---|---|
source_address |
stringa |
facoltativo |
Indirizzo dell'origine dell'evento |
source_address_type |
stringa |
facoltativo |
Tipo di indirizzo dell'origine dell'evento |
source_port |
numero |
facoltativo |
Porta dell'origine dell'evento |
target_address |
stringa |
facoltativo |
Indirizzo della destinazione dell'evento |
target_address_type |
stringa |
facoltativo |
Tipo di indirizzo della destinazione dell'evento |
target_port |
numero |
facoltativo |
Porta della destinazione dell'evento |
protocol |
stringa |
facoltativo |
Protocollo |
account |
stringa |
facoltativo |
Nome dell'account utente associato all'evento |
process_name |
stringa |
facoltativo |
Nome del processo associato all'evento |
rule_name |
stringa |
facoltativo |
Nome regola |
rule_id |
stringa |
facoltativo |
ID regola |
inbound |
bool |
facoltativo |
Specifica se la connessione era o meno in entrata |
threat_name |
stringa |
facoltativo |
Nome del rilevamento |
aggregate_count |
numero |
facoltativo |
Numero esatto di messaggi uguali generati dall'endpoint tra due repliche consecutive tra il server ESET PROTECT e l'agente ESET Management di gestione |
action |
stringa |
facoltativo |
Azione intrapresa |
handled |
stringa |
facoltativo |
Indica l'eventuale gestione del rilevamento |
Esempio di rapporto FirewallAggregated_Event:
HIPSAggregated_Event
Gli eventi provenienti dal sistema anti-intrusione basato su host ("Host-based Intrusion Prevention System") sono filtrati in base al livello di gravità prima di essere inoltrati come messaggi Syslog. Al sistema Syslog vengono inviati solo gli eventi con un livello di gravità corrispondente a Errore, Critico e Irreversibile. Gli attributi specifici dell'HIPS sono i seguenti:
application |
stringa |
facoltativo |
Nome applicazione |
---|---|---|---|
operation |
stringa |
facoltativo |
Operazione |
target |
stringa |
facoltativo |
Destinazione |
action |
stringa |
facoltativo |
Azione intrapresa |
action_taken |
stringa |
facoltativo |
Azione intrapresa dall'endpoint |
rule_name |
stringa |
facoltativo |
Nome regola |
rule_id |
stringa |
facoltativo |
ID regola |
aggregate_count |
numero |
facoltativo |
Numero esatto di messaggi uguali generati dall'endpoint tra due repliche consecutive tra il server ESET PROTECT e l'agente ESET Management di gestione |
handled |
stringa |
facoltativo |
Indica l'eventuale gestione del rilevamento |
Esempio di rapporto HipsAggregated_Event:
Audit_Event
ESET PROTECT inoltra i messaggi dei rapporti di audit interni del server a Syslog. Gli attributi specifici sono i seguenti:
domain |
stringa |
facoltativo |
Dominio del rapporto di audit |
---|---|---|---|
action |
stringa |
facoltativo |
Azione che viene eseguita |
target |
stringa |
facoltativo |
Destinazione sulla quale è attiva l'azione |
detail |
stringa |
facoltativo |
Descrizione dettagliata dell'azione |
user |
stringa |
facoltativo |
Utente coinvolto |
result |
stringa |
facoltativo |
Risultato dell'azione |
Esempio di rapporto Audit_Event:
FilteredWebsites_Event
ESET PROTECT inoltra i siti web filtrati (rilevamenti di Web Protection) a Syslog. Gli attributi specifici sono i seguenti:
hostname |
stringa |
facoltativo |
Nome host del computer con l'evento |
processname |
stringa |
facoltativo |
Nome del processo associato all'evento |
username |
stringa |
facoltativo |
Nome dell'account utente associato all'evento |
hash |
stringa |
facoltativo |
Hash SHA1 dell'oggetto filtrato |
event |
stringa |
facoltativo |
Tipo di evento |
rule_id |
stringa |
facoltativo |
ID regola |
action_taken |
stringa |
facoltativo |
Azione intrapresa |
scanner_id |
stringa |
facoltativo |
ID scanner |
object_uri |
stringa |
facoltativo |
URI oggetto |
target_address |
stringa |
facoltativo |
Indirizzo della destinazione dell'evento |
target_address_type |
stringa |
facoltativo |
Tipo di indirizzo della destinazione dell’evento (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
stringa |
facoltativo |
Indica l'eventuale gestione del rilevamento |
Esempio di rapporto FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT inoltra gli allarmi ESET Enterprise Inspector a Syslog. Gli attributi specifici sono i seguenti:
processname |
stringa |
facoltativo |
Nome del processo che causa questo allarme |
---|---|---|---|
username |
stringa |
facoltativo |
Proprietario del processo |
rulename |
stringa |
facoltativo |
Nome della regola che attiva questo allarme |
count |
numero |
facoltativo |
Numero di avvisi di questo tipo generati dall'ultimo allarme |
hash |
stringa |
facoltativo |
Hash SHA1 dell’allarme |
eiconsolelink |
stringa |
facoltativo |
Collegamento all'allarme nella console di ESET Enterprise Inspector |
eialarmid |
stringa |
facoltativo |
Sottoparte ID del collegamento allarme ($1 in ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
numero |
facoltativo |
Punteggio gravità computer |
severity_score |
numero |
facoltativo |
Punteggio gravità regola |
Esempio di rapporto EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT inoltra i file bloccati di ESET Enterprise Inspector a Syslog. Gli attributi specifici sono i seguenti:
hostname |
stringa |
facoltativo |
Nome host del computer con l'evento |
processname |
stringa |
facoltativo |
Nome del processo associato all'evento |
username |
stringa |
facoltativo |
Nome dell'account utente associato all'evento |
hash |
stringa |
facoltativo |
Hash SHA1 del file bloccato |
object_uri |
stringa |
facoltativo |
URI oggetto |
action |
stringa |
facoltativo |
Azione intrapresa |
firstseen |
stringa |
facoltativo |
Ora e data in cui il rilevamento è stato trovato per la prima volta in quella macchina (formato data e ora). |
cause |
stringa |
facoltativo |
|
description |
stringa |
facoltativo |
Descrizione del file bloccato |
handled |
stringa |
facoltativo |
Indica l'eventuale gestione del rilevamento |