Eventos exportados para o formato JSON

O JSON é um formato leve para troca de dados. É construído em uma coleção de pares de nome / valor e uma lista ordenada de valores.

Eventos exportados

Esta seção contém detalhes sobre o formato e significado de atributos de todos os eventos exportados. A mensagem de evento está na forma de um objeto JSON com algumas chaves obrigatórias e outras opcionais. Cada evento exportado vai ter a chave a seguir:

event_type

string

 

Tipo de eventos exportados:

Threat_Event

FirewallAggregated_Event

HipsAggregated_Event

Audit_Event

FilteredWebsites_Event

EnterpriseInspectorAlert_Event

BlockedFiles_Event

ipv4

string

opcional

Endereço IPv4 do computador gerando o evento.

ipv6

string

opcional

Endereço IPv6 do computador gerando o evento.

source_uuid

string

 

UUID do computador gerando o evento.

occurred

string

 

Hora UTC de ocorrência do evento. O formato é %d-%b-%Y %H:%M:%S

severity

string

 

Gravidade do evento. Valores possíveis (do menos ao mais grave) são: Informação Aviso Alerta Erro Crítico Fatal


note

Todos os tipos de evento listados abaixo com todos os níveis de gravidade são reportados ao servidor Syslog. Para filtrar os relatórios de evento enviados para o Syslog, crie uma notificação de categoria de relatório com um filtro definido.

Teclas personalizadas de acordo com o event_type:

Threat_Event

Todos os eventos de Detecção gerados por endpoints gerenciados serão encaminhados para o Syslog. Chave de evento específica de Detecção:

threat_type

string

opcional

Tipo de detecção

threat_name

string

opcional

Nome da detecção

threat_flags

string

opcional

Sinalizadores de detecção relacionados

scanner_id

string

opcional

ID do Scanner

scan_id

string

opcional

ID de rastreamento

engine_version

string

opcional

Versão do mecanismo de escaneamento

object_type

string

opcional

Tipo de objeto relacionado a este evento

object_uri

string

opcional

URI do objeto

action_taken

string

opcional

Ação realizada pelo Endpoint

action_error

string

opcional

Mensagem de erro caso a "ação" não seja bem sucedida

threat_handled

bool

opcional

Indica se a detecção foi resolvida ou não

need_restart

bool

opcional

Indica se era necessário reiniciar ou não

username

string

opcional

Nome da conta de usuário associada ao evento

processname

string

opcional

Nome do processo associado ao evento

circumstances

string

opcional

Descrição breve do que causou o evento

hash

string

opcional

SHA1 hash do fluxo de dados (detecção).

firstseen

string

opcional

Data e hora de quando a detecção foi detectada pela primeira vez na máquina. O ESET PROTECT usa formatos de data-hora diferentes para o atributo firstseen (e qualquer outro atributo de data-hora) dependendo do formato de saída do relatório (JSON ou LEEF):

JSON formato:"%d-%b-%Y %H:%M:%S"

LEEF formato:"%b %d %Y %H:%M:%S"

arrow_down_business Exemplo de relatório Threat_Event:

FirewallAggregated_Event

Relatórios de evento gerados pelo Firewall da ESET são agregados pelo Agente ESET Management gerente, para evitar o desperdício de banda durante a replicação de Agente ESET Management/Servidor ESET PROTECT. Chave de evento específico de Firewall:

event

string

opcional

Nome do evento

source_address

string

opcional

Endereço da origem do evento

source_address_type

string

opcional

Tipo de endereço da origem do evento

source_port

número

opcional

Porta de origem do evento

target_address

string

opcional

Endereço do destino do evento

target_address_type

string

opcional

Tipo de endereço do destino do evento

target_port

número

opcional

Porta de destino do evento

protocol

string

opcional

Protocolo

account

string

opcional

Nome da conta de usuário associada ao evento

process_name

string

opcional

Nome do processo associado ao evento

rule_name

string

opcional

Nome da regra

rule_id

string

opcional

ID de regra

inbound

bool

opcional

Indica se a conexão era de entrada ou não

threat_name

string

opcional

Nome da detecção

aggregate_count

número

opcional

Quantas mensagens exatamente iguais foram geradas pelo endpoint entre duas replicações consecutivas entre o Servidor ESET PROTECT e o Agente ESET Management gerente

action

string

opcional

Ação realizada

handled

string

opcional

Indica se a detecção foi resolvida ou não

arrow_down_business Exemplo de relatório FirewallAggregated_Event:

HIPSAggregated_Event

Eventos do Sistema de Prevenção de intruso Baseado em Host são filtrados por gravidade antes de serem enviados como mensagens Syslog. Apenas eventos com nível de gravidade Erro, Crítico e Fatal são enviados ao Syslog. Os atributos específicos HIPS são os seguintes:

application

string

opcional

Nome do aplicativo

operation

string

opcional

Operação

target

string

opcional

Destino

action

string

opcional

Ação realizada

action_taken

string

opcional

Ação realizada pelo Endpoint

rule_name

string

opcional

Nome da regra

rule_id

string

opcional

ID de regra

aggregate_count

número

opcional

Quantas mensagens exatamente iguais foram geradas pelo endpoint entre duas replicações consecutivas entre o Servidor ESET PROTECT e o Agente ESET Management gerente

handled

string

opcional

Indica se a detecção foi resolvida ou não

arrow_down_business Exemplo de relatório HipsAggregated_Event:

Audit_Event

O ESET PROTECT encaminha as mensagem de relatório de auditoria interna do servidor para o Syslog. Os atributos específicos são os seguintes:

domain

string

opcional

Domínio de relatório de auditoria

action

string

opcional

Ação sendo realizada

target

string

opcional

Ação de destino no qual está operando

detail

string

opcional

Descrição detalhada da ação

user

string

opcional

Usuário de segurança envolvido

result

string

opcional

Resultado da ação

arrow_down_business Exemplo de relatório Audit_Event:

FilteredWebsites_Event

O ESET PROTECT encaminha os sites filtrados (detecções da Proteção da web) para o Syslog. Os atributos específicos são os seguintes:

hostname

string

opcional

Nome de host do computador com o evento

processname

string

opcional

Nome do processo associado ao evento

username

string

opcional

Nome da conta de usuário associada ao evento

hash

string

opcional

Hashs SHA1 do objeto filtrado

event

string

opcional

Tipo do evento

rule_id

string

opcional

ID de regra

action_taken

string

opcional

Ação realizada

scanner_id

string

opcional

ID do Scanner

object_uri

string

opcional

URI do objeto

target_address

string

opcional

Endereço do destino do evento

target_address_type

string

opcional

Tipo de endereço do destino do evento (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

opcional

Indica se a detecção foi resolvida ou não

arrow_down_business Exemplo de relatório FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

O ESET PROTECT encaminha os alarmes ESET Enterprise Inspector para o syslog. Os atributos específicos são os seguintes:

processname

string

opcional

Nome do processo causando esse alarme

username

string

opcional

Proprietário do processo

rulename

string

opcional

Nome da regra acionando este alarme

count

número

opcional

Número de alertas desse tipo gerados desde o último alarme

hash

string

opcional

Hash SHA1 do alarme

eiconsolelink

string

opcional

Link para o alarme no console ESET Enterprise Inspector

eialarmid

string

opcional

ID da subparte do link de alarme ($1 no ^http.*/alarm/([0-9]+)$)

computer_severity_score

número

opcional

Pontuação de gravidade do computador

severity_score

número

opcional

Pontuação de gravidade da regra

arrow_down_business Exemplo de relatório EnterpriseInspectorAlert_Event:

BlockedFiles_Event

O ESET PROTECT encaminha os arquivos bloqueados ESET Enterprise Inspector ao Syslog. Os atributos específicos são os seguintes:

hostname

string

opcional

Nome de host do computador com o evento

processname

string

opcional

Nome do processo associado ao evento

username

string

opcional

Nome da conta de usuário associada ao evento

hash

string

opcional

Hash SHA1 do arquivo bloqueado

object_uri

string

opcional

URI do objeto

action

string

opcional

Ação realizada

firstseen

string

opcional

Hora e data em que a detecção foi encontrada pela primeira vez na máquina (formato de data e hora).

cause

string

opcional

 

description

string

opcional

Descrição do arquivo bloqueado

handled

string

opcional

Indica se a detecção foi resolvida ou não