Події, що експортуються у формат JSON
JSON – це полегшений формат для обміну даними. Його побудовано на наборі пар «назва-значення» й упорядкованому списку значень.
Експортовані події
Цей розділ містить інформацію про формат і значення атрибутів усіх експортованих подій. Повідомлення про подію створюється у формі об’єкта JSON з кількома обов’язковими й необов’язковими ключами. Кожна експортована подія міститиме такий ключ:
event_type |
рядок |
|
Тип експортованих подій: |
|---|---|---|---|
ipv4 |
рядок |
необов’язкова |
IPv4-адреса комп’ютера, що створив подію. |
ipv6 |
рядок |
необов’язкова |
IPv6-адреса комп’ютера, що створив подію. |
source_uuid |
рядок |
|
Ідентифікатор UUID комп’ютера, що створив подію. |
occurred |
рядок |
|
Час події у форматі UTC. Формат: %d-%b-%Y %H:%M:%S |
severity |
рядок |
|
Рівень критичності події. Можливі значення (від найменш до найбільш критичної): «Інформація», «Попередження», «Застереження», «Помилка», «Критична помилка», «Невиправна помилка» |
|
На сервер Syslog надсилаються події всіх указаних нижче типів зі всіма рівнями критичності. Щоб відфільтрувати журнали подій, надіслані в Syslog, створіть сповіщення про категорію журналу з визначеним фільтром. |
Налаштовувані ключі відповідно до event_type:
Threat_Event
Усі події «Виявлений об’єкт», створені керованими кінцевими точками, пересилатимуться в системний журнал. Ключ події «Виявлений об’єкт»:
threat_type |
рядок |
необов’язкова |
Тип виявленого об’єкта |
|---|---|---|---|
threat_name |
рядок |
необов’язкова |
Назва виявленого об’єкта |
threat_flags |
рядок |
необов’язкова |
Прапорці, пов’язані з виявленим об’єктом |
scanner_id |
рядок |
необов’язкова |
Ідентифікатор сканера |
scan_id |
рядок |
необов’язкова |
Ідентифікатор сканування |
engine_version |
рядок |
необов’язкова |
Версія ядра сканування |
object_type |
рядок |
необов’язкова |
Тип об’єкта, пов’язаного з цією подією |
object_uri |
рядок |
необов’язкова |
URI об’єкта |
action_taken |
рядок |
необов’язкова |
Дія, яку виконала робоча станція |
action_error |
рядок |
необов’язкова |
Повідомлення про помилку, якщо не вдалося виконати дію |
threat_handled |
логічне значення |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
need_restart |
логічне значення |
необов’язкова |
Указує, чи потрібно виконати перезавантаження |
username |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
processname |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
circumstances |
рядок |
необов’язкова |
Короткий опис причини події |
hash |
рядок |
необов’язкова |
Хеш SHA1 потоку даних (виявленого об’єкта). |
рядок |
необов’язкова |
Дата й час першого виявлення об’єкта на певному комп’ютері. ESET PROTECT використовує різні формати дати-часу для атрибута firstseen (і будь-якого іншого атрибута дати-часу) залежно від формату виведення даних журналу (JSON або LEEF): •JSON формат: "%d-%b-%Y %H:%M:%S" •LEEF формат: "%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
Щоб марно не навантажувати смугу пропускання під час реплікації агента ESET Management або сервера ESET Management, журнали подій, створені брандмауером ESET, збирає головний агент ESET PROTECT. Ключ події брандмауера:
event |
рядок |
необов’язкова |
Назва події |
|---|---|---|---|
source_address |
рядок |
необов’язкова |
Адреса джерела події |
source_address_type |
рядок |
необов’язкова |
Тип адреси джерела події |
source_port |
число |
необов’язкова |
Порт джерела події |
target_address |
рядок |
необов’язкова |
Адреса цілі події |
target_address_type |
рядок |
необов’язкова |
Тип адреси цілі події |
target_port |
число |
необов’язкова |
Порт цілі події |
protocol |
рядок |
необов’язкова |
Протокол |
account |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
process_name |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
rule_name |
рядок |
необов’язкова |
Ім’я правила |
rule_id |
рядок |
необов’язкова |
Ідентифікатор правила |
inbound |
логічне значення |
необов’язкова |
Указує, чи є підключення вхідним |
threat_name |
рядок |
необов’язкова |
Назва виявленого об’єкта |
aggregate_count |
число |
необов’язкова |
Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між сервером ESET PROTECT і головним агентом ESET Management |
action |
рядок |
необов’язкова |
Дію вжито |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
Зразок журналу FirewallAggregated_Event:
HIPSAggregated_Event
Події системи запобігання втручанню в хост фільтруються за рівнем критичності до надсилання у вигляді повідомлень системного журналу. Лише події з рівнем критичності Помилка, Критична помилка та Невиправна помилка надсилаються в системний журнал. Атрибути системи запобігання вторгненням (HIPS):
application |
рядок |
необов’язкова |
Назва програми |
|---|---|---|---|
operation |
рядок |
необов’язкова |
Операція |
target |
рядок |
необов’язкова |
Об'єкт |
action |
рядок |
необов’язкова |
Дію вжито |
action_taken |
рядок |
необов’язкова |
Дія, яку виконала робоча станція |
rule_name |
рядок |
необов’язкова |
Ім’я правила |
rule_id |
рядок |
необов’язкова |
Ідентифікатор правила |
aggregate_count |
число |
необов’язкова |
Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між сервером ESET PROTECT і головним агентом ESET Management |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
Зразок журналу HipsAggregated_Event:
Audit_Event
ESET PROTECT переспрямовує повідомлення журналу внутрішнього аудиту сервера в системний журнал. Нижче наведено спеціальні атрибути.
domain |
рядок |
необов’язкова |
Домен журналу аудиту |
|---|---|---|---|
action |
рядок |
необов’язкова |
Виконувана дія |
target |
рядок |
необов’язкова |
Об’єкт цільової дії |
detail |
рядок |
необов’язкова |
Детальний опис дії |
user |
рядок |
необов’язкова |
Користувач системи безпеки |
result |
рядок |
необов’язкова |
Результат дії |
FilteredWebsites_Event
ESET PROTECT перенаправляє відфільтровані веб-сайти (об’єкти, виявлені модулем веб-захисту) в Syslog. Нижче наведено спеціальні атрибути.
hostname |
рядок |
необов’язкова |
Ім’я хоста комп’ютера, на якому сталася ця подія |
processname |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
username |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
hash |
рядок |
необов’язкова |
Хеш SHA1 відфільтрованого об’єкта |
event |
рядок |
необов’язкова |
Тип події |
rule_id |
рядок |
необов’язкова |
Ідентифікатор правила |
action_taken |
рядок |
необов’язкова |
Дію вжито |
scanner_id |
рядок |
необов’язкова |
Ідентифікатор сканера |
object_uri |
рядок |
необов’язкова |
URI об’єкта |
target_address |
рядок |
необов’язкова |
Адреса цілі події |
target_address_type |
рядок |
необов’язкова |
Тип адреси цілі події (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
Зразок журналу FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT перенаправляє оповіщення ESET Enterprise Inspector в журнал Syslog. Нижче наведено спеціальні атрибути.
processname |
рядок |
необов’язкова |
Назва процесу, який спричинив оповіщення |
|---|---|---|---|
username |
рядок |
необов’язкова |
Власник процесу |
rulename |
рядок |
необов’язкова |
Назва правила, яке спричиняє це оповіщення |
count |
число |
необов’язкова |
Кількість попереджень такого типу, згенерованих із моменту останнього оповіщення |
hash |
рядок |
необов’язкова |
Хеш SHA1 оповіщення |
eiconsolelink |
рядок |
необов’язкова |
Посилання на оповіщення в консолі ESET Enterprise Inspector |
eialarmid |
рядок |
необов’язкова |
Ідентифікатор, указаний у посиланні оповіщення ($1 в ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
число |
необов’язкова |
Оцінка рівня критичності для комп’ютера |
severity_score |
число |
необов’язкова |
Оцінка рівня критичності правила |
Зразок журналу EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT перенаправляє заблоковані файли ESET Enterprise Inspector в Syslog. Нижче наведено спеціальні атрибути.
hostname |
рядок |
необов’язкова |
Ім’я хоста комп’ютера, на якому сталася ця подія |
processname |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
username |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
hash |
рядок |
необов’язкова |
ХешSHA1 заблокованого файлу |
object_uri |
рядок |
необов’язкова |
URI об’єкта |
action |
рядок |
необов’язкова |
Дію вжито |
firstseen |
рядок |
необов’язкова |
Дата й час першого виявлення об’єкта на певному комп’ютері (формат дати й часу). |
cause |
рядок |
необов’язкова |
|
description |
рядок |
необов’язкова |
Опис заблокованих файлів |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |