Udalosti exportované vo formáte JSON
JSON je jednoduchý formát pre výmenu dát. Je založený na dvoch dátových štruktúrach: kolekcia párov názov-hodnota a zoradený zoznam hodnôt.
Exportované udalosti
Táto sekcia obsahuje podrobnosti o formáte a význame atribútov všetkých exportovaných udalostí. Správa o udalosti má podobu objektu JSON vrátane niektorých povinných a voliteľných kľúčov (atribútov). Každá exportovaná udalosť bude obsahovať nasledujúci kľúč:
event_type |
reťazec |
|
Typ exportovanej udalosti: |
---|---|---|---|
ipv4 |
reťazec |
voliteľné |
IPv4 adresa počítača, ktorý generoval udalosť. |
ipv6 |
reťazec |
voliteľné |
IPv6 adresa počítača, ktorý generoval udalosť. |
source_uuid |
reťazec |
|
UUID počítača, ktorý generoval udalosť. |
occurred |
reťazec |
|
Čas vo formáte UTC, kedy udalosť vznikla. Formát: %d-%b-%Y %H:%M:%S |
severity |
reťazec |
|
Závažnosť udalosti. Možné hodnoty (od najmenej závažnej po najviac závažnú) sú: Informácie, Upozornenie, Varovanie, Chyba, Kritický, Závažný. |
Všetky typy udalostí uvedené ďalej sú bez ohľadu na úroveň závažnosti nahlasované Syslog serveru. Na filtrovanie protokolov udalostí odoslaných do Syslogu vytvorte oznámenie pre kategóriu protokolov s definovaným filtrom. |
Vlastné kľúče (atribúty) podľa event_type:
Threat_Event
Všetky záznamy o zachytených detekciách sú spravované koncovými bezpečnostnými produktmi a odosielané na Syslog. Záznam o detekcii vyzerá nasledovne:
threat_type |
reťazec |
voliteľné |
Typ detekcie |
---|---|---|---|
threat_name |
reťazec |
voliteľné |
Názov detekcie |
threat_flags |
reťazec |
voliteľné |
Príznaky súvisiace s detekciou |
scanner_id |
reťazec |
voliteľné |
ID skenera |
scan_id |
reťazec |
voliteľné |
ID kontroly |
engine_version |
reťazec |
voliteľné |
Verzia skenovacieho jadra |
object_type |
reťazec |
voliteľné |
Typ objektu týkajúci sa tejto udalosti |
object_uri |
reťazec |
voliteľné |
URI objektu |
action_taken |
reťazec |
voliteľné |
Akcia vykonaná koncovým produktom |
action_error |
reťazec |
voliteľné |
Chybové hlásenie v prípade, že „akcia“ nebola úspešná |
threat_handled |
bool |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
need_restart |
bool |
voliteľné |
Informácia o tom, či je potrebný reštart |
username |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
processname |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
circumstances |
reťazec |
voliteľné |
Krátka informácia o tom, čo spôsobilo danú udalosť |
hash |
reťazec |
voliteľné |
SHA1 hash (detekcie) dátového toku. |
reťazec |
voliteľné |
Čas a dátum, kedy bola detekcia po prvýkrát zistená na zariadení. ESET PROTECT používa rozdielne formáty času a dátumu pre atribút firstseen (a každý iný atribút času a dátumu) v závislosti od výstupného formátu (JSON alebo LEEF): •JSON formát: "%d-%b-%Y %H:%M:%S" •LEEF formát: "%b %d %Y %H:%M:%S" |
Príklad protokolu Threat_Event:
FirewallAggregated_Event
Protokoly udalostí generované firewallom ESET agreguje riadiaci ESET Management Agent na účely zníženia množstva dát prenášaných počas replikácie ESET Management Agenta/ESET PROTECT Servera. Záznam o udalostiach firewallu vyzerá nasledovne:
event |
reťazec |
voliteľné |
Názov udalosti |
---|---|---|---|
source_address |
reťazec |
voliteľné |
Adresa zdroja udalosti |
source_address_type |
reťazec |
voliteľné |
Typ adresy zdroja udalosti |
source_port |
číslo |
voliteľné |
Port zdroja udalosti |
target_address |
reťazec |
voliteľné |
Adresa cieľa udalosti |
target_address_type |
reťazec |
voliteľné |
Typ adresy cieľa udalosti |
target_port |
číslo |
voliteľné |
Port cieľa udalosti |
protocol |
reťazec |
voliteľné |
Protokol |
account |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
process_name |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
rule_name |
reťazec |
voliteľné |
Názov pravidla |
rule_id |
reťazec |
voliteľné |
ID pravidla |
inbound |
bool |
voliteľné |
Informácia, či išlo o prichádzajúce pripojenie |
threat_name |
reťazec |
voliteľné |
Názov detekcie |
aggregate_count |
číslo |
voliteľné |
Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ESET PROTECT Agenta na ESET Management Server |
action |
reťazec |
voliteľné |
Vykonaná akcia |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
Príklad protokolu FirewallAggregated_Event:
HIPSAggregated_Event
Udalosti z modulu HIPS (Host-based Intrusion Prevention System) sú filtrované na základe závažnosti pred tým, ako sú ďalej odosielané v podobe Syslog správ. Na Syslog sú odosielané len udalosti s úrovňou závažnosti Chyba, Kritický a Závažný. Záznam o udalostiach modulu HIPS vyzerá nasledovne:
application |
reťazec |
voliteľné |
Názov aplikácie |
---|---|---|---|
operation |
reťazec |
voliteľné |
Operácia |
target |
reťazec |
voliteľné |
Cieľ |
action |
reťazec |
voliteľné |
Vykonaná akcia |
action_taken |
reťazec |
voliteľné |
Akcia vykonaná koncovým produktom |
rule_name |
reťazec |
voliteľné |
Názov pravidla |
rule_id |
reťazec |
voliteľné |
ID pravidla |
aggregate_count |
číslo |
voliteľné |
Počet rovnakých správ vygenerovaných koncovým produktom medzi dvoma replikáciami ESET PROTECT Agenta na ESET Management Server |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
Príklad protokolu HipsAggregated_Event:
Audit_Event
ESET PROTECT preposiela do Syslogu správy z interného protokolu auditu servera. Záznam o udalostiach vyzerá nasledovne:
domain |
reťazec |
voliteľné |
Doména protokolu auditu |
---|---|---|---|
action |
reťazec |
voliteľné |
Vykonávaná akcia |
target |
reťazec |
voliteľné |
Cieľ, na ktorom je akcia vykonávaná |
detail |
reťazec |
voliteľné |
Podrobný popis akcie |
user |
reťazec |
voliteľné |
Užívateľ vykonávajúci akciu |
result |
reťazec |
voliteľné |
Výsledok akcie |
Príklad protokolu Audit_Event:
FilteredWebsites_Event
ESET PROTECT preposiela filtrované webové stránky (detekcie Webovej ochrany) do Syslogu. Záznam o udalostiach vyzerá nasledovne:
hostname |
reťazec |
voliteľné |
Názov hostiteľa počítača s udalosťou |
processname |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
username |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
hash |
reťazec |
voliteľné |
SHA1 hash filtrovaného objektu |
event |
reťazec |
voliteľné |
Typ udalosti |
rule_id |
reťazec |
voliteľné |
ID pravidla |
action_taken |
reťazec |
voliteľné |
Vykonaná akcia |
scanner_id |
reťazec |
voliteľné |
ID skenera |
object_uri |
reťazec |
voliteľné |
URI objektu |
target_address |
reťazec |
voliteľné |
Adresa cieľa udalosti |
target_address_type |
reťazec |
voliteľné |
Typ adresy cieľa udalosti (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |
Príklad protokolu FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT preposiela upozornenia nahlásené nástrojom ESET Enterprise Inspector do Syslogu. Záznam o udalostiach vyzerá nasledovne:
processname |
reťazec |
voliteľné |
Názov procesu, ktorý spôsobil upozornenie |
---|---|---|---|
username |
reťazec |
voliteľné |
Vlastník procesu |
rulename |
reťazec |
voliteľné |
Názov pravidla, ktoré spustilo upozornenie |
count |
číslo |
voliteľné |
Počet upozornení tohto typu vygenerovaných od posledného upozornenia |
hash |
reťazec |
voliteľné |
SHA1 hash upozornenia |
eiconsolelink |
reťazec |
voliteľné |
Odkaz na upozornenie v konzole ESET Enterprise Inspector |
eialarmid |
reťazec |
voliteľné |
Podčasť ID odkazu na upozornenie ($1 v ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
číslo |
voliteľné |
Skóre závažnosti počítača |
severity_score |
číslo |
voliteľné |
Skóre závažnosti pravidla |
Príklad protokolu EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT preposiela blokované súbory nahlásené nástrojom ESET Enterprise Inspector do syslogu. Záznam o udalostiach vyzerá nasledovne:
hostname |
reťazec |
voliteľné |
Názov hostiteľa počítača s udalosťou |
processname |
reťazec |
voliteľné |
Názov procesu spojeného s touto udalosťou |
username |
reťazec |
voliteľné |
Názov používateľského účtu spojeného s touto udalosťou |
hash |
reťazec |
voliteľné |
SHA1 hash blokovaného súboru |
object_uri |
reťazec |
voliteľné |
URI objektu |
action |
reťazec |
voliteľné |
Vykonaná akcia |
firstseen |
reťazec |
voliteľné |
Čas a dátum, kedy bola detekcia prvýkrát nájdená na danom počítači (formát dátumu a času). |
cause |
reťazec |
voliteľné |
|
description |
reťazec |
voliteľné |
Popis blokovaného súboru |
handled |
reťazec |
voliteľné |
Udáva, či detekcia bola alebo nebola vyriešená |