Zdarzenia eksportowane do formatu JSON
JSON to niewymagający dużej ilości zasobów format wymiany danych. Tworzy go zbiór par nazw i wartości oraz uporządkowana lista wartości.
Eksportowane zdarzenia
W tej części można znaleźć szczegółowe informacje o formacie oraz znaczeniu atrybutów wszystkich eksportowanych zdarzeń. Komunikat o zdarzeniu ma postać obiektu JSON, w którym część kluczy jest obowiązkowa, a część opcjonalna. Każde z wyeksportowanych zdarzeń będzie zawierać następujące klucze:
event_type |
string |
|
Typ wyeksportowanych zdarzeń: |
|---|---|---|---|
ipv4 |
string |
opcjonalnie |
Adres IPv4 komputera, który wygenerował zdarzenie. |
ipv6 |
string |
opcjonalnie |
Adres IPv6 komputera, który wygenerował zdarzenie. |
source_uuid |
string |
|
Identyfikator UUID komputera, który wygenerował zdarzenie. |
occurred |
string |
|
Godzina wystąpienia zdarzenia w formacie UTC. Używany format: %d-%b-%Y %H:%M:%S |
severity |
string |
|
Stopień ważności zdarzenia. Możliwe wartości (od najmniejszej do największej wagi): Information, Notice, Warning, Error, Critical, Fatal. |
|
Wszystkie typy zdarzeń wymienione poniżej ze wszystkimi poziomami ważności są zgłaszane do serwera programu Syslog. Aby filtrować dzienniki zdarzeń wysyłane do programu Syslog, utwórz powiadomienie o kategorii dziennika ze zdefiniowanym filtrem. |
Klucze niestandardowe według atrybutu event_type:
Threat_Event
Wszystkie zdarzenia związane z wykryciami generowane przez zarządzane punkty końcowe będą przekazywane do serwera Syslog. Klucze zdarzeń związanych z wykryciami:
threat_type |
string |
opcjonalnie |
Typ wykrycia |
|---|---|---|---|
threat_name |
string |
opcjonalnie |
Nazwa wykrycia |
threat_flags |
string |
opcjonalnie |
Flagi związane z wykryciem |
scanner_id |
string |
opcjonalnie |
Identyfikator skanera |
scan_id |
string |
opcjonalnie |
Identyfikator skanowania |
engine_version |
string |
opcjonalnie |
Wersja aparatu skanowania |
object_type |
string |
opcjonalnie |
Typ obiektu związanego z tym zdarzeniem |
object_uri |
string |
opcjonalnie |
Identyfikator URI obiektu |
action_taken |
string |
opcjonalnie |
Czynność podjęta przez punkt końcowy |
action_error |
string |
opcjonalnie |
Komunikat o błędzie generowany w przypadku, gdy „czynność” nie przyniesie żądanego efektu |
threat_handled |
wartość logiczna |
opcjonalnie |
Informacja o tym, czy wykrycie zostało obsłużone |
need_restart |
wartość logiczna |
opcjonalnie |
Informacja o tym, czy konieczne jest ponowne uruchomienie |
username |
string |
opcjonalnie |
Nazwa konta użytkownika związanego ze zdarzeniem |
processname |
string |
opcjonalnie |
Nazwa procesu związanego ze zdarzeniem |
circumstances |
string |
opcjonalnie |
Krótki opis przyczyny zdarzenia |
hash |
string |
opcjonalnie |
Skrót SHA1 strumienia danych (wykrycia). |
string |
opcjonalnie |
Godzina i data, gdy wykrycie znaleziono po raz pierwszy w tym urządzeniu. ESET PROTECT stosuje inne formaty daty/godziny w atrybucie firstseen (i każdym innym atrybucie daty/godziny), w zależności od formatu wyjściowego dziennika (JSON lub LEEF): •JSON format:"%d-%b-%Y %H:%M:%S" •LEEF format:"%b %d %Y %H:%M:%S" |
Threat_Event – przykład dziennika:
FirewallAggregated_Event
Dzienniki zdarzeń generowane przez Zaporę ESET są agregowane przez zarządzającego agenta ESET Management, aby uniknąć niepotrzebnego zużycia przepustowości podczas replikacji między agentem ESET Management a serwerem ESET PROTECT. Klucze zdarzeń związanych z zaporą:
event |
string |
opcjonalnie |
Nazwa zdarzenia |
|---|---|---|---|
source_address |
string |
opcjonalnie |
Adres źródła zdarzenia |
source_address_type |
string |
opcjonalnie |
Typ adresu źródła zdarzenia |
source_port |
wartość liczbowa |
opcjonalnie |
Port źródła zdarzenia |
target_address |
string |
opcjonalnie |
Adres miejsca docelowego zdarzenia |
target_address_type |
string |
opcjonalnie |
Typ adresu miejsca docelowego zdarzenia |
target_port |
wartość liczbowa |
opcjonalnie |
Port miejsca docelowego zdarzenia |
protocol |
string |
opcjonalnie |
Protokół |
account |
string |
opcjonalnie |
Nazwa konta użytkownika związanego ze zdarzeniem |
process_name |
string |
opcjonalnie |
Nazwa procesu związanego ze zdarzeniem |
rule_name |
string |
opcjonalnie |
Nazwa reguły |
rule_id |
string |
opcjonalnie |
Identyfikator reguły |
inbound |
wartość logiczna |
opcjonalnie |
Informacja o tym, czy było to połączenie przychodzące |
threat_name |
string |
opcjonalnie |
Nazwa wykrycia |
aggregate_count |
wartość liczbowa |
opcjonalnie |
Liczba identycznych komunikatów wygenerowanych przez punkt końcowy pomiędzy dwiema kolejnymi replikacjami zachodzącymi między serwerem ESET PROTECT a zarządzającym agentem ESET Management |
action |
string |
opcjonalnie |
Wykonane czynności |
handled |
string |
opcjonalnie |
Informacja o tym, czy wykrycie zostało obsłużone |
FirewallAggregated_Event – przykład dziennika:
HIPSAggregated_Event
Zdarzenia z systemu zapobiegania włamaniom działającego na hoście (Host-based Intrusion Prevention System) są filtrowane na podstawie stopnia ważności zanim zostaną przesłane dalej jako komunikaty Syslog. Do serwera Syslog wysyłane są tylko zdarzenia o stopniu ważności na poziomie Error, Critical i Fatal. Poniżej przedstawiono atrybuty związane z systemem HIPS:
application |
string |
opcjonalnie |
Nazwa aplikacji |
|---|---|---|---|
operation |
string |
opcjonalnie |
Operacja |
target |
string |
opcjonalnie |
Obiekt docelowy |
action |
string |
opcjonalnie |
Wykonane czynności |
action_taken |
string |
opcjonalnie |
Czynność podjęta przez punkt końcowy |
rule_name |
string |
opcjonalnie |
Nazwa reguły |
rule_id |
string |
opcjonalnie |
Identyfikator reguły |
aggregate_count |
wartość liczbowa |
opcjonalnie |
Liczba identycznych komunikatów wygenerowanych przez punkt końcowy pomiędzy dwiema kolejnymi replikacjami zachodzącymi między serwerem ESET PROTECT a zarządzającym agentem ESET Management |
handled |
string |
opcjonalnie |
Informacja o tym, czy wykrycie zostało obsłużone |
HipsAggregated_Event – przykład dziennika:
Audit_Event
Program ESET PROTECT przekazuje komunikaty wewnętrznych dzienników audytu serwera do programu Syslog. Poniżej przedstawiono konkretne atrybuty:
domain |
string |
opcjonalnie |
Domena dzienników audytu |
|---|---|---|---|
action |
string |
opcjonalnie |
Trwające działanie |
target |
string |
opcjonalnie |
Cel, którego dotyczy działanie |
detail |
string |
opcjonalnie |
Szczegółowy opis działania |
user |
string |
opcjonalnie |
Użytkownik związany z zabezpieczeniami |
result |
string |
opcjonalnie |
Wynik działania |
Audit_Event – przykład dziennika:
FilteredWebsites_Event
ESET PROTECT przekazuje filtrowane witryny internetowe (wykrycia funkcji Ochrona dostępu do stron internetowych) do programu Syslog. Poniżej przedstawiono konkretne atrybuty:
hostname |
string |
opcjonalnie |
Nazwa hosta komputera związanego ze zdarzeniem |
processname |
string |
opcjonalnie |
Nazwa procesu związanego ze zdarzeniem |
username |
string |
opcjonalnie |
Nazwa konta użytkownika związanego ze zdarzeniem |
hash |
string |
opcjonalnie |
Skrót SHA1 filtrowanego obiektu |
event |
string |
opcjonalnie |
Typ zdarzenia |
rule_id |
string |
opcjonalnie |
Identyfikator reguły |
action_taken |
string |
opcjonalnie |
Wykonane czynności |
scanner_id |
string |
opcjonalnie |
Identyfikator skanera |
object_uri |
string |
opcjonalnie |
Identyfikator URI obiektu |
target_address |
string |
opcjonalnie |
Adres miejsca docelowego zdarzenia |
target_address_type |
string |
opcjonalnie |
Typ adresu miejsca docelowego zdarzenia (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
opcjonalnie |
Informacja o tym, czy wykrycie zostało obsłużone |
FilteredWebsites_Event – przykład dziennika:
EnterpriseInspectorAlert_Event
ESET PROTECT przekazuje alarmy ESET Enterprise Inspector do programu Syslog. Poniżej przedstawiono konkretne atrybuty:
processname |
string |
opcjonalnie |
Nazwa procesu wywołującego ten alarm |
|---|---|---|---|
username |
string |
opcjonalnie |
Właściciel procesu |
rulename |
string |
opcjonalnie |
Nazwa reguły wyzwalającej ten alarm |
count |
wartość liczbowa |
opcjonalnie |
Liczba alertów tego typu wygenerowanych od ostatniego alarmu |
hash |
string |
opcjonalnie |
Skrót SHA1 alarmu |
eiconsolelink |
string |
opcjonalnie |
Łącze do alarmu w konsoli ESET Enterprise Inspector |
eialarmid |
string |
opcjonalnie |
Podczęść ID łącza alarmowego ($1 (w ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
wartość liczbowa |
opcjonalnie |
Wynik stopnia zagrożenia komputera |
severity_score |
wartość liczbowa |
opcjonalnie |
Wynik stopnia zagrożenia reguły |
EnterpriseInspectorAlert_Event – przykład dziennika:
BlockedFiles_Event
ESET PROTECT przekazuje zablokowane pliki ESET Enterprise Inspector do programu Syslog. Poniżej przedstawiono konkretne atrybuty:
hostname |
string |
opcjonalnie |
Nazwa hosta komputera związanego ze zdarzeniem |
processname |
string |
opcjonalnie |
Nazwa procesu związanego ze zdarzeniem |
username |
string |
opcjonalnie |
Nazwa konta użytkownika związanego ze zdarzeniem |
hash |
string |
opcjonalnie |
Skrót SHA1 zablokowanego pliku |
object_uri |
string |
opcjonalnie |
Identyfikator URI obiektu |
action |
string |
opcjonalnie |
Wykonane czynności |
firstseen |
string |
opcjonalnie |
Godzina i data pierwszego wykrycia na tym urządzeniu (format daty i godziny). |
cause |
string |
opcjonalnie |
|
description |
string |
opcjonalnie |
Opis zablokowanego pliku |
handled |
string |
opcjonalnie |
Informacja o tym, czy wykrycie zostało obsłużone |