JSON 형식으로 내보낸 이벤트
JSON은 데이터 교환을 위한 경량 형식으로, 순서가 지정된 값 목록과 이름/값 쌍 모음을 바탕으로 작성됩니다.
내보낸 이벤트
이 섹션에는 내보낸 모든 이벤트 특성의 형식 및 의미에 대한 자세한 정보가 포함되어 있습니다. 이벤트 메시지는 몇 가지 필수 및 옵션 키를 사용한 JSON 개체 형식으로 되어 있습니다. 내보낸 각각의 이벤트에 다음 키가 포함됩니다.
event_type |
string |
|
다음과 같은 내보낸 이벤트 유형: |
---|---|---|---|
ipv4 |
string |
옵션 |
이벤트를 생성하는 컴퓨터의 IPv4 주소 |
ipv6 |
string |
옵션 |
이벤트를 생성하는 컴퓨터의 IPv6 주소 |
source_uuid |
string |
|
이벤트를 생성하는 컴퓨터의 UUID |
occurred |
string |
|
이벤트가 발생한 UTC 시간. 형식: %d-%b-%Y %H:%M:%S |
severity |
string |
|
이벤트 심각도. 가능한 값(최소 심각도부터 최고 심각도까지): 정보 알림 경고 오류 CriticalFatal |
모든 심각도 수준을 포함하여 아래에 나열된 모든 이벤트 유형이 Syslog 서버에 보고됩니다. Syslog로 전송된 이벤트 로그를 필터링하려면 필터가 정의된 로그 범주 알림을 생성합니다. |
event_type에 따른 사용자 지정 키
Threat_Event
관리되는 끝점에서 생성된 모든 탐지 이벤트는 Syslog로 전달됩니다. 탐지 이벤트 관련 키:
threat_type |
string |
옵션 |
탐지 유형 |
---|---|---|---|
threat_name |
string |
옵션 |
탐지 이름 |
threat_flags |
string |
옵션 |
탐지 관련 플래그 |
scanner_id |
string |
옵션 |
검사기 ID |
scan_id |
string |
옵션 |
검사 ID |
engine_version |
string |
옵션 |
검사 엔진 버전 |
object_type |
string |
옵션 |
이 이벤트와 관련된 개체의 유형 |
object_uri |
string |
옵션 |
오브젝트 URI |
action_taken |
string |
옵션 |
끝점에서 수행된 동작 |
action_error |
string |
옵션 |
"동작"이 실패한 경우 오류 메시지 |
threat_handled |
부울 |
옵션 |
탐지가 처리되었는지 여부를 나타냄 |
need_restart |
부울 |
옵션 |
다시 시작해야 하는지 여부 |
username |
string |
옵션 |
이벤트와 연결된 사용자 계정의 이름 |
processname |
string |
옵션 |
이벤트와 연결된 프로세스의 이름 |
circumstances |
string |
옵션 |
이벤트 원인에 대한 간략한 설명 |
hash |
string |
옵션 |
(탐지) 데이터 스트림의 SHA1 해시입니다. |
string |
옵션 |
해당 컴퓨터에서 탐지가 처음으로 발견된 날짜와 시간입니다. ESET PROTECT에서는 로그 출력 형식(JSON 또는 LEEF)에 따라 firstseen 특성(및 기타 날짜-시간 특성)에 대해 다른 날짜-시간 형식을 사용합니다. •JSON 형식:"%d-%b-%Y %H:%M:%S" •LEEF 형식:"%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
ESET 방화벽에서 생성된 이벤트 로그는 ESET Management 에이전트/ESET Management 서버 복제 중에 대역폭을 낭비하지 않도록 관리하는 ESET PROTECT 에이전트에 의해 집계됩니다. 방화벽 이벤트 관련 키는 다음과 같습니다.
event |
string |
옵션 |
이벤트 이름 |
---|---|---|---|
source_address |
string |
옵션 |
이벤트 소스의 주소 |
source_address_type |
string |
옵션 |
이벤트 소스의 주소 유형 |
source_port |
숫자 |
옵션 |
이벤트 소스의 포트 |
target_address |
string |
옵션 |
이벤트 대상의 주소 |
target_address_type |
string |
옵션 |
이벤트 대상의 주소 유형 |
target_port |
숫자 |
옵션 |
이벤트 대상의 포트 |
protocol |
string |
옵션 |
프로토콜 |
account |
string |
옵션 |
이벤트와 연결된 사용자 계정의 이름 |
process_name |
string |
옵션 |
이벤트와 연결된 프로세스의 이름 |
rule_name |
string |
옵션 |
규칙 이름 |
rule_id |
string |
옵션 |
규칙 ID |
inbound |
부울 |
옵션 |
연결이 들어왔는지 여부 |
threat_name |
string |
옵션 |
탐지 이름 |
aggregate_count |
숫자 |
옵션 |
ESET PROTECT 서버와 관리하는 ESET Management 에이전트 간의 두 개 연속 복제 사이에 있는 끝점에서 생성된 동일한 메시지 수 |
action |
string |
옵션 |
수행된 동작 |
handled |
string |
옵션 |
탐지가 처리되었는지 여부를 나타냄 |
FirewallAggregated_Event 로그 예제:
HIPSAggregated_Event
호스트 기반 침입 방지 시스템의 이벤트는 Syslog 메시지로 보내지기 전에 심각도를 기준으로 필터링됩니다. 심각도 수준이 오류, 중요, 치명적인 이벤트만 Syslog로 보내집니다. HIPS 관련 특성은 다음과 같습니다.
application |
string |
옵션 |
응용 프로그램 이름 |
---|---|---|---|
operation |
string |
옵션 |
작업 |
target |
string |
옵션 |
대상 |
action |
string |
옵션 |
수행된 동작 |
action_taken |
string |
옵션 |
끝점에서 수행된 동작 |
rule_name |
string |
옵션 |
규칙 이름 |
rule_id |
string |
옵션 |
규칙 ID |
aggregate_count |
숫자 |
옵션 |
ESET PROTECT 서버와 관리하는 ESET Management 에이전트 간의 두 개 연속 복제 사이에 있는 끝점에서 생성된 동일한 메시지 수 |
handled |
string |
옵션 |
탐지가 처리되었는지 여부를 나타냄 |
Audit_Event
ESET PROTECT는 서버의 내부 감사 로그 메시지를 Syslog에 전달합니다. 구체적인 특성은 다음과 같습니다.
domain |
string |
옵션 |
감사 로그 도메인 |
---|---|---|---|
action |
string |
옵션 |
발생한 동작 |
target |
string |
옵션 |
작동 중인 대상 동작 |
detail |
string |
옵션 |
동작에 대한 자세한 설명 |
user |
string |
옵션 |
관련된 보안 사용자 |
result |
string |
옵션 |
동작의 결과 |
FilteredWebsites_Event
ESET PROTECT에서 Syslog로 필터링된 웹 사이트(Web Protection 탐지)를 전달합니다. 구체적인 특성은 다음과 같습니다.
hostname |
string |
옵션 |
이벤트가 있는 컴퓨터의 호스트 이름 |
processname |
string |
옵션 |
이벤트와 연결된 프로세스의 이름 |
username |
string |
옵션 |
이벤트와 연결된 사용자 계정의 이름 |
hash |
string |
옵션 |
필터링된 개체의 SHA1 해시 |
event |
string |
옵션 |
이벤트 유형 |
rule_id |
string |
옵션 |
규칙 ID |
action_taken |
string |
옵션 |
수행된 동작 |
scanner_id |
string |
옵션 |
검사기 ID |
object_uri |
string |
옵션 |
오브젝트 URI |
target_address |
string |
옵션 |
이벤트 대상의 주소 |
target_address_type |
string |
옵션 |
이벤트 대상의 주소 유형 (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
옵션 |
탐지가 처리되었는지 여부를 나타냄 |
EnterpriseInspectorAlert_Event
ESET PROTECT에서 Syslog로 ESET Enterprise Inspector 경보를 전달합니다. 구체적인 특성은 다음과 같습니다.
processname |
string |
옵션 |
이 경보를 발생시키는 프로세스의 이름 |
---|---|---|---|
username |
string |
옵션 |
프로세스 소유자 |
rulename |
string |
옵션 |
이 경보를 트리거하는 규칙의 이름 |
count |
숫자 |
옵션 |
마지막 경보 이후에 생성된 이 유형의 경보 수 |
hash |
string |
옵션 |
경보의 SHA1 해시 |
eiconsolelink |
string |
옵션 |
ESET Enterprise Inspector 콘솔의 경보 링크 |
eialarmid |
string |
옵션 |
경보 링크의 ID 하위 부분(^http.*/alarm/([0-9]+)$의 $1) |
computer_severity_score |
숫자 |
옵션 |
컴퓨터 심각도 점수 |
severity_score |
숫자 |
옵션 |
규칙 심각도 점수 |
EnterpriseInspectorAlert_Event 로그 예제:
BlockedFiles_Event
ESET PROTECT에서 Syslog로 ESET Enterprise Inspector 차단된 파일을 전달합니다. 구체적인 특성은 다음과 같습니다.
hostname |
string |
옵션 |
이벤트가 있는 컴퓨터의 호스트 이름 |
processname |
string |
옵션 |
이벤트와 연결된 프로세스의 이름 |
username |
string |
옵션 |
이벤트와 연결된 사용자 계정의 이름 |
hash |
string |
옵션 |
차단된 파일의 SHA1 해시 |
object_uri |
string |
옵션 |
오브젝트 URI |
action |
string |
옵션 |
수행된 동작 |
firstseen |
string |
옵션 |
해당 컴퓨터에서 처음으로 탐지가 발견된 시간과 날짜(날짜 및 시간 형식) |
cause |
string |
옵션 |
|
description |
string |
옵션 |
차단된 파일에 대한 설명 |
handled |
string |
옵션 |
탐지가 처리되었는지 여부를 나타냄 |