˄˅

Eventos exportados para o formato JSON

O JSON é um formato leve para troca de dados. É construído em uma coleção de pares de nome / valor e uma lista ordenada de valores.

Eventos exportados

Esta seção contém detalhes sobre o formato e significado de atributos de todos os eventos exportados. A mensagem de evento está na forma de um objeto JSON com algumas chaves obrigatórias e outras opcionais. Cada evento exportado vai ter a chave a seguir:

event_type	string		Tipo de eventos exportados: •Threat_Event •FirewallAggregated_Event •HipsAggregated_Event •Audit_Event •FilteredWebsites_Event •EnterpriseInspectorAlert_Event •BlockedFiles_Event
ipv4	string	opcional	Endereço IPv4 do computador gerando o evento.
ipv6	string	opcional	Endereço IPv6 do computador gerando o evento.
source_uuid	string		UUID do computador gerando o evento.
occurred	string		Hora UTC de ocorrência do evento. O formato é %d-%b-%Y %H:%M:%S
severity	string		Gravidade do evento. Valores possíveis (do menos ao mais grave) são: Informação Aviso Alerta Erro Crítico Fatal

Todos os tipos de evento listados abaixo com todos os níveis de gravidade são reportados ao servidor Syslog. Para filtrar os relatórios de evento enviados para o Syslog, crie uma notificação de categoria de relatório com um filtro definido.

Teclas personalizadas de acordo com o event_type:

Threat_Event

Todos os eventos de Detecção gerados por endpoints gerenciados serão encaminhados para o Syslog. Chave de evento específica de Detecção:

threat_type	string	opcional	Tipo de detecção
threat_name	string	opcional	Nome da detecção
threat_flags	string	opcional	Sinalizadores de detecção relacionados
scanner_id	string	opcional	ID do Scanner
scan_id	string	opcional	ID de rastreamento
engine_version	string	opcional	Versão do mecanismo de escaneamento
object_type	string	opcional	Tipo de objeto relacionado a este evento
object_uri	string	opcional	URI do objeto
action_taken	string	opcional	Ação realizada pelo Endpoint
action_error	string	opcional	Mensagem de erro caso a "ação" não seja bem sucedida
threat_handled	bool	opcional	Indica se a detecção foi resolvida ou não
need_restart	bool	opcional	Indica se era necessário reiniciar ou não
username	string	opcional	Nome da conta de usuário associada ao evento
processname	string	opcional	Nome do processo associado ao evento
circumstances	string	opcional	Descrição breve do que causou o evento
hash	string	opcional	SHA1 hash do fluxo de dados (detecção).
firstseen	string	opcional	Data e hora de quando a detecção foi detectada pela primeira vez na máquina. O ESET PROTECT usa formatos de data-hora diferentes para o atributo firstseen (e qualquer outro atributo de data-hora) dependendo do formato de saída do relatório (JSON ou LEEF): •JSON formato:"%d-%b-%Y %H:%M:%S" •LEEF formato:"%b %d %Y %H:%M:%S"

Exemplo de relatório Threat_Event:

FirewallAggregated_Event

Relatórios de evento gerados pelo Firewall da ESET são agregados pelo Agente ESET Management gerente, para evitar o desperdício de banda durante a replicação de Agente ESET Management/Servidor ESET PROTECT. Chave de evento específico de Firewall:

event	string	opcional	Nome do evento
source_address	string	opcional	Endereço da origem do evento
source_address_type	string	opcional	Tipo de endereço da origem do evento
source_port	número	opcional	Porta de origem do evento
target_address	string	opcional	Endereço do destino do evento
target_address_type	string	opcional	Tipo de endereço do destino do evento
target_port	número	opcional	Porta de destino do evento
protocol	string	opcional	Protocolo
account	string	opcional	Nome da conta de usuário associada ao evento
process_name	string	opcional	Nome do processo associado ao evento
rule_name	string	opcional	Nome da regra
rule_id	string	opcional	ID de regra
inbound	bool	opcional	Indica se a conexão era de entrada ou não
threat_name	string	opcional	Nome da detecção
aggregate_count	número	opcional	Quantas mensagens exatamente iguais foram geradas pelo endpoint entre duas replicações consecutivas entre o Servidor ESET PROTECT e o Agente ESET Management gerente
action	string	opcional	Ação realizada
handled	string	opcional	Indica se a detecção foi resolvida ou não

Exemplo de relatório FirewallAggregated_Event:

HIPSAggregated_Event

Eventos do Sistema de Prevenção de intruso Baseado em Host são filtrados por gravidade antes de serem enviados como mensagens Syslog. Apenas eventos com nível de gravidade Erro, Crítico e Fatal são enviados ao Syslog. Os atributos específicos HIPS são os seguintes:

application	string	opcional	Nome do aplicativo
operation	string	opcional	Operação
target	string	opcional	Destino
action	string	opcional	Ação realizada
action_taken	string	opcional	Ação realizada pelo Endpoint
rule_name	string	opcional	Nome da regra
rule_id	string	opcional	ID de regra
aggregate_count	número	opcional	Quantas mensagens exatamente iguais foram geradas pelo endpoint entre duas replicações consecutivas entre o Servidor ESET PROTECT e o Agente ESET Management gerente
handled	string	opcional	Indica se a detecção foi resolvida ou não

Exemplo de relatório HipsAggregated_Event:

Audit_Event

O ESET PROTECT encaminha as mensagem de relatório de auditoria interna do servidor para o Syslog. Os atributos específicos são os seguintes:

domain	string	opcional	Domínio de relatório de auditoria
action	string	opcional	Ação sendo realizada
target	string	opcional	Ação de destino no qual está operando
detail	string	opcional	Descrição detalhada da ação
user	string	opcional	Usuário de segurança envolvido
result	string	opcional	Resultado da ação

Exemplo de relatório Audit_Event:

FilteredWebsites_Event

O ESET PROTECT encaminha os sites filtrados (detecções da Proteção da web) para o Syslog. Os atributos específicos são os seguintes:

hostname	string	opcional	Nome de host do computador com o evento
processname	string	opcional	Nome do processo associado ao evento
username	string	opcional	Nome da conta de usuário associada ao evento
hash	string	opcional	Hashs SHA1 do objeto filtrado
event	string	opcional	Tipo do evento
rule_id	string	opcional	ID de regra
action_taken	string	opcional	Ação realizada
scanner_id	string	opcional	ID do Scanner
object_uri	string	opcional	URI do objeto
target_address	string	opcional	Endereço do destino do evento
target_address_type	string	opcional	Tipo de endereço do destino do evento (25769803777 = IPv4; 25769803778 = IPv6)
handled	string	opcional	Indica se a detecção foi resolvida ou não

Exemplo de relatório FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

O ESET PROTECT encaminha os alarmes ESET Enterprise Inspector para o syslog. Os atributos específicos são os seguintes:

processname	string	opcional	Nome do processo causando esse alarme
username	string	opcional	Proprietário do processo
rulename	string	opcional	Nome da regra acionando este alarme
count	número	opcional	Número de alertas desse tipo gerados desde o último alarme
hash	string	opcional	Hash SHA1 do alarme
eiconsolelink	string	opcional	Link para o alarme no console ESET Enterprise Inspector
eialarmid	string	opcional	ID da subparte do link de alarme ($1 no ^http.*/alarm/([0-9]+)$)
computer_severity_score	número	opcional	Pontuação de gravidade do computador
severity_score	número	opcional	Pontuação de gravidade da regra

Exemplo de relatório EnterpriseInspectorAlert_Event:

BlockedFiles_Event

O ESET PROTECT encaminha os arquivos bloqueados ESET Enterprise Inspector ao Syslog. Os atributos específicos são os seguintes:

hostname	string	opcional	Nome de host do computador com o evento
processname	string	opcional	Nome do processo associado ao evento
username	string	opcional	Nome da conta de usuário associada ao evento
hash	string	opcional	Hash SHA1 do arquivo bloqueado
object_uri	string	opcional	URI do objeto
action	string	opcional	Ação realizada
firstseen	string	opcional	Hora e data em que a detecção foi encontrada pela primeira vez na máquina (formato de data e hora).
cause	string	opcional
description	string	opcional	Descrição do arquivo bloqueado
handled	string	opcional	Indica se a detecção foi resolvida ou não

˄˅