تعليمات ESET عبر الإنترنت

البحث العربية
تحديد الفئة
تحديد الموضوع

الأحداث المصدرة إلى تنسيق JSON

يعد JSON تنسيقاً بسيطاً لتبادل البيانات. وهو يعتمد على مجموعة من مجموعات ثنائية مكونة من الاسم / القيمة وقائمة مُرتّبة من القيم.

أحداث تم تصديرها

يحتوي هذا القسم على تفاصيل حول التنسيق ومعنى السمات الخاصة بجميع الأحداث التي تم تصديرها. تكون رسالة الحدث في شكل كائن JSON مع بعض المفاتيح الإلزامية وبعض المفاتيح الاختيارية. سيحتوي كل حدث تم تصديره على المفتاح التالي:

event_type

string

 

نوع الأحداث التي تم تصديرها:

ipv4

string

اختياري

عنوان IPv4 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث.

ipv6

string

اختياري

عنوان IPv6 لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث.

source_uuid

string

 

UUID لجهاز الكمبيوتر الذي يقوم بإنشاء الحدث.

occurred

string

 

توقيت UTC لحدوث الحدث. التنسيق هو %d-%b-%Y %H:%M:%S

severity

string

 

خطورة الحدث. القيم الممكنة (من الأقل خطورة إلى الأكثر خطورة) هي: معلومات، ملاحظة، تحذير، خطأ، حرج، فادح.


note

يتم الإبلاغ عن جميع أنواع الأحداث المدرجة أدناه بكل مستويات الخطورة إلى خادم Syslog. لتصفية سجلات الأحداث المرسلة إلى Syslog، أنشئ إعلام بفئة السجل باستخدام عامل تصفية محدد.

تعتمد القيم التي تم الإبلاغ عنها على منتج أمان ESET (وإصداره) المثبت على جهاز الكمبيوتر المُدار ، ويقوم ESET PROTECT فقط بالإبلاغ عن البيانات المستلمة. لذلك، لا يمكن لـ ESET توفير قائمة شاملة بجميع القيم. نوصي بمراقبة شبكتك وتصفية السجلات بناءً على القيم التي تتلقاها.

المفاتيح المخصصة وفقاً لـ event_type:

Threat_Event

ستتم إعادة توجيه جميع أحداث الاكتشافات التي تم إنشاؤها من قبل نقاط النهاية المدارة إلى Syslog. المفتاح الخاص بحدث الاكتشاف:

threat_type

string

اختياري

نوع الاكتشاف

threat_name

string

اختياري

اسم الاكتشاف

threat_flags

string

اختياري

العلامات المرتبطة بالاكتشاف

scanner_id

string

اختياري

مُعرّف الماسح

scan_id

string

اختياري

مُعرّف المسح

engine_version

string

اختياري

إصدار محرك المسح

object_type

string

اختياري

نوع الكائن المرتبط بهذا الحدث

object_uri

string

اختياري

URI للكائن

action_taken

string

اختياري

الإجراء المُتّخذ من قبل نقطة النهاية

action_error

string

اختياري

رسالة خطأ تظهر إذا لم يكن "الإجراء" ناجحاً

threat_handled

bool

اختياري

يشير إلى ما إذا تم معالجة الاكتشاف أم لا

need_restart

bool

اختياري

ما إذا كانت هناك حاجة إلى إعادة التشغيل أم لا

username

string

اختياري

اسم حساب المستخدم المرتبط بالحدث

processname

string

اختياري

اسم العملية المرتبطة بالحدث

circumstances

string

اختياري

وصف مختصر لسبب الحدث

hash

string

اختياري

SHA1 مزيج دفق البيانات (الاكتشاف).

firstseen

string

اختياري

وقت وتاريخ العثور على الاكتشاف لأول مرة في هذا الجهاز. يستخدم ESET PROTECT تنسيقات تاريخ-وقت مختلفة لسمة firstseen (وأي سمة تاريخ-وقت أخرى) بناءً على تنسيق إخراج السجل (JSON أو LEEF):

  • JSON التنسيق: "%d-%b-%Y %H:%M:%S"
  • LEEF التنسيق: "%b %d %Y %H:%M:%S"

arrow_down_business مثال سجل Threat_Event:

FirewallAggregated_Event

يتم تجميع سجلات الأحداث التي تم إنشائها من خلال جدار حماية ESET عن طريق إدارة عامل ESET Management لتجنب إهدار النطاق الترددي في أثناء النسخ المتماثل لعامل ESET Management / خادم ESET PROTECT. المفتاح الخاص بحدث جدار الحماية:

event

string

اختياري

اسم الحدث

source_address

string

اختياري

عنوان مصدر الحدث

source_address_type

string

اختياري

نوع عنوان مصدر الحدث

source_port

number

اختياري

منفذ مصدر الحدث

target_address

string

اختياري

عنوان وجهة الحدث

target_address_type

string

اختياري

نوع عنوان وجهة الحدث

target_port

number

اختياري

منفذ وجهة الحدث

protocol

string

اختياري

البروتوكول

account

string

اختياري

اسم حساب المستخدم المرتبط بالحدث

process_name

string

اختياري

اسم العملية المرتبطة بالحدث

rule_name

string

اختياري

اسم القاعدة

rule_id

string

اختياري

مُعرّف القاعدة

inbound

bool

اختياري

ما إذا كان الاتصال وارداً أم لا

threat_name

string

اختياري

اسم الاكتشاف

aggregate_count

number

اختياري

كم عدد الرسائل نفسها تحديداً التي تم إنشاؤها من خلال نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين خادم ESET PROTECT وعامل ESET Management مدير.

action

string

اختياري

تم الإجراء

handled

string

اختياري

يشير إلى ما إذا تم معالجة الاكتشاف أم لا

arrow_down_business مثال سجل FirewallAggregated_Event:

HIPSAggregated_Event

يتم تصفية الأحداث من "نظام منع اختراق المضيف" على الخطورة قبل أن يتم إرسالها كذلك كرسائل Syslog. لا يتم إرسال سوى الأحداث ذات مستويات الخطورة خطأ, حرج وفادح إلى Syslog. السمات المرتبطة بـ HIPS هي كالتالي:

application

string

اختياري

اسم التطبيق

operation

string

اختياري

التشغيل

target

string

اختياري

الهدف

action

string

اختياري

تم الإجراء

action_taken

string

اختياري

الإجراء المُتّخذ من قبل نقطة النهاية

rule_name

string

اختياري

اسم القاعدة

rule_id

string

اختياري

مُعرّف القاعدة

aggregate_count

number

اختياري

كم عدد الرسائل نفسها تحديداً التي تم إنشاؤها من خلال نقطة النهاية بين عمليتي نسخ متماثل متتاليتين بين خادم ESET PROTECT وعامل ESET Management مدير.

handled

string

اختياري

يشير إلى ما إذا تم معالجة الاكتشاف أم لا

arrow_down_business مثال سجل HipsAggregated_Event:

Audit_Event

يقوم ESET PROTECT بإعادة توجيه رسائل سجل التدقيق الداخلي للخادم إلى Syslog. السمات المعينة هي على النحو التالي:

domain

string

اختياري

مجال سجل التدقيق

action

string

اختياري

يتم اتخاذ الإجراء

target

string

اختياري

إجراء الهدف يعمل على

detail

string

اختياري

وصف مفصل للإجراء

user

string

اختياري

مستخدم الأمان متضمن

result

string

اختياري

نتيجة الإجراء

arrow_down_business مثال سجل Audit_Event:

FilteredWebsites_Event

ESET PROTECT يعيد توجيه مواقع الويب التي تمت تصفيتها (اكتشافاتحماية الويب) إلى Syslog. السمات المعينة هي على النحو التالي:

hostname

string

اختياري

اسم المضيف لجهاز الكمبيوتر مع الحدث

processname

string

اختياري

اسم العملية المرتبطة بالحدث

username

string

اختياري

اسم حساب المستخدم المرتبط بالحدث

hash

string

اختياري

SHA1 تجزئة الكائن الذي تمت تصفيته

event

string

اختياري

نوع الحدث

rule_id

string

اختياري

مُعرّف القاعدة

action_taken

string

اختياري

تم الإجراء

scanner_id

string

اختياري

مُعرّف الماسح

object_uri

string

اختياري

URI للكائن

target_address

string

اختياري

عنوان وجهة الحدث

target_address_type

string

اختياري

نوع عنوان وجهة الحدث (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

اختياري

يشير إلى ما إذا تم معالجة الاكتشاف أم لا

arrow_down_business مثال سجل FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

ESET PROTECT يعيد توجيه تنبيهات ESET Inspect إلى Syslog. السمات المعينة هي على النحو التالي:

processname

string

اختياري

اسم العملية التي تسبب هذا الإنذار

username

string

اختياري

صاحب العملية

rulename

string

اختياري

اسم القاعدة التي تشغل هذا الإنذار

count

number

اختياري

عدد التنبيهات من هذا النوع التي تم إنشاؤها من آخر إنذار

hash

string

اختياري

SHA1 تجزئة الإنذار

eiconsolelink

string

اختياري

ربط إلى الإنذار الموجود في وحدة تحكم ESET Inspect

eialarmid

string

اختياري

معرف الجزء الفرعي لرابط الإنذار ($1 في ^http.*/alarm/([0-9]+)$)

computer_severity_score

number

اختياري

درجة خطورة جهاز الكمبيوتر

severity_score

number

اختياري

درجة خطورة القاعدة

arrow_down_business مثال سجل EnterpriseInspectorAlert_Event:

BlockedFiles_Event

ESET PROTECT يعيد توجيه ملفات ESET Inspect المحظورة إلى Syslog. السمات المعينة هي على النحو التالي:

hostname

string

اختياري

اسم المضيف لجهاز الكمبيوتر مع الحدث

processname

string

اختياري

اسم العملية المرتبطة بالحدث

username

string

اختياري

اسم حساب المستخدم المرتبط بالحدث

hash

string

اختياري

SHA1 تجزئة الملف المحظور

object_uri

string

اختياري

URI للكائن

action

string

اختياري

تم الإجراء

firstseen

string

اختياري

وقت وتاريخ العثور على الاكتشاف لأول مرة في هذا الجهاز (تنسيق التاريخ والوقت).

cause

string

اختياري

 

description

string

اختياري

وصف الملف المحظور

handled

string

اختياري

يشير إلى ما إذا تم معالجة الاكتشاف أم لا