˄˅

Události exportované do JSON formátu

JSON (JavaScript Object Notation) je jednoduchý formát pro výměnu dat. Je založený na dvou datových strukturách: kolekce párů název-hodnota a seřazeném seznamu hodnot.

Exportované události

V této části uvádíme formát všech exportovaných událostí společně s popisem jednotlivých atributů. Zprávy událostí jsou reprezentovány JSON objektem, kdy některé části jsou povinné, jiné volitelné. Každá exportovaná událost bude obsahovat tyto atributy:

event_type	řetězec		Typ exportované události: •Threat_Event •FirewallAggregated_Event •HipsAggregated_Event •Audit_Event •FilteredWebsites_Event •EnterpriseInspectorAlert_Event •BlockedFiles_Event
ipv4	řetězec	volitelné	IPv4 adresa počítače, který vygeneroval událost
ipv6	řetězec	volitelné	IPv6 adresa počítače, který vygeneroval událost
source_uuid	řetězec		UUID počítače, který vygeneroval událost
occurred	řetězec		Čas v UTC formátu, kdy událost vznikla. Formát: %d-%b-%Y %H:%M:%S
severity	řetězec		Závažnost události. Možné hodnoty (seřazeno od málo kritických po nejzávažnější): Informační, Oznámení, Varování, Chyba, Kritické, Mimořádné.

Na Syslog Server se zasílají při všech úrovních závažnosti a všechny níže uvedené události: Pokud chcete na Syslog server zasílat pouze některé události, vytvořit si oznámení s vámi požadovaným filtrem.

Reportované hodnoty závisí na nainstalovaném bezpečnostním produktu ESET (a jeho verzi) na spravovaném zařízení, ESET PROTECT pouze reportuje obdržená data. Z tohoto důvodu společnost ESET nemůže poskytnout úplný seznam všech hodnot. Doporučujeme sledovat síť a filtrovat protokoly na základě obdržených hodnot.

Vlastní klíče související s event_type:

Threat_Event

Na Syslog server se zasílají všechny detekce z koncových stanic. Záznam o detekci vypadá následovně:

threat_type	řetězec	volitelné	Typ detekce
threat_name	řetězec	volitelné	Název detekce
threat_flags	řetězec	volitelné	Štítek související s detekcí
scanner_id	řetězec	volitelné	ID skeneru
scan_id	řetězec	volitelné	ID kontroly
engine_version	řetězec	volitelné	Verze skenovacího jádra
object_type	řetězec	volitelné	Typ objektu související s touto událostí
object_uri	řetězec	volitelné	URI objektu
action_taken	řetězec	volitelné	Provedená akce s objektem
action_error	řetězec	volitelné	Chybová zpráva v případě, že se "akci" nepodařilo úspěšně provést
threat_handled	bool	volitelné	Informace o tom, zda byla detekce vyřešena
need_restart	bool	volitelné	Informace, zda je vyžadován restart
username	řetězec	volitelné	Název uživatelského účtu spojeného s touto událostí
processname	řetězec	volitelné	Název procesu spojeného s touto událostí
circumstances	řetězec	volitelné	Krátký popis s informací, co způsobilo událost
hash	řetězec	volitelné	SHA1 kontrolní součet (detekce) data streamu.
firstseen	řetězec	volitelné	Datum a čas první detekce na zařízení. V závislosti na výstupním formátu (JSON nebo LEEF) generuje ESET PROTECT firstseenatribut (a další atributy související s časem) v odlišném tvaru: •JSON formát: "%d-%b-%Y %H:%M:%S" •LEEF formát: "%b %d %Y %H:%M:%S"

Příklad Threat_Event protokolu:

FirewallAggregated_Event

Informace o událostech firewallu agreguje ESET Management Agent za účelem snížení množství přenášených dat během jejich replikace na ESET Management server. Záznam o událostech firewallu vypadá následovně:

event	řetězec	volitelné	Název události
source_address	řetězec	volitelné	Adresa zdroje události
source_address_type	řetězec	volitelné	Typ adresy zdroje události
source_port	číslo	volitelné	Port zdroje události
target_address	řetězec	volitelné	Adresa cíle události
target_address_type	řetězec	volitelné	Typ adresy cíle události
target_port	číslo	volitelné	Port cíle události
protocol	řetězec	volitelné	Protokol
account	řetězec	volitelné	Název uživatelského účtu spojeného s touto událostí
process_name	řetězec	volitelné	Název procesu spojeného s touto událostí
rule_name	řetězec	volitelné	Název pravidla
rule_id	řetězec	volitelné	ID pravidla
inbound	bool	volitelné	Informace, zda se jednalo o příchozí spojení
threat_name	řetězec	volitelné	Název detekce
aggregate_count	číslo	volitelné	Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET PROTECT Agenta na ESET Management Server.
action	řetězec	volitelné	Akce
handled	řetězec	volitelné	Informace o tom, zda byla detekce vyřešena

Příklad FirewallAggregated_Event protokolu:

HIPSAggregated_Event

Před odesláním událostí na syslog server jsou zprávy z modulu HIPS (Host-based Intrusion Prevention System) nejprve filtrovány podle nastavené závažnosti. Na syslog jsou odesílány pouze události se závažností: Chyba, Kritické a Mimořádné. Záznam o událostech modulu HIPS vypadá následovně:

application	řetězec	volitelné	Název aplikace
operation	řetězec	volitelné	Operace
target	řetězec	volitelné	Cíl
action	řetězec	volitelné	Akce
action_taken	řetězec	volitelné	Provedená akce s objektem
rule_name	řetězec	volitelné	Název pravidla
rule_id	řetězec	volitelné	ID pravidla
aggregate_count	číslo	volitelné	Počet udávající, kolik stejných zpráv produkt na stanici vygeneroval mezi dvěma replikacemi ESET PROTECT Agenta na ESET Management Server.
handled	řetězec	volitelné	Informace o tom, zda byla detekce vyřešena

Příklad HipsAggregated_Event protokolu:

Audit_Event

ESET PROTECT přeposílá na Syslog interní audit log. Záznam o událostech vypadá následovně:

domain	řetězec	volitelné	Doména
action	řetězec	volitelné	Akce
target	řetězec	volitelné	Cíl, nad kterým je akce prováděna
detail	řetězec	volitelné	Detailní popis akce
user	řetězec	volitelné	Uživatel, který akci provádí
result	řetězec	volitelné	Výsledek akce

Příklad Audit_Event protokolu:

FilteredWebsites_Event

ESET PROTECT přeposílá seznam filtrovaných webových stránek (detekce modulem Ochrana přístupu na web) na Syslog. Záznam o událostech vypadá následovně:

hostname	řetězec	volitelné	Název počítače, který vygeneroval událost
processname	řetězec	volitelné	Název procesu spojeného s touto událostí
username	řetězec	volitelné	Název uživatelského účtu spojeného s touto událostí
hash	řetězec	volitelné	SHA1 hash filtrovaného objektu
event	řetězec	volitelné	Typ události
rule_id	řetězec	volitelné	ID pravidla
action_taken	řetězec	volitelné	Akce
scanner_id	řetězec	volitelné	ID skeneru
object_uri	řetězec	volitelné	URI objektu
target_address	řetězec	volitelné	Adresa cíle události
target_address_type	řetězec	volitelné	Typ adresy cíle události (25769803777 = IPv4; 25769803778 = IPv6)
handled	řetězec	volitelné	Informace o tom, zda byla detekce vyřešena

Příklad FilteredWebsites_Event protokolu:

EnterpriseInspectorAlert_Event

ESET PROTECT přeposílá ESET Inspect alarmy na Syslog. Záznam o událostech vypadá následovně:

processname	řetězec	volitelné	Název procesu, který způsobil tento alarm
username	řetězec	volitelné	Vlastník procesu
rulename	řetězec	volitelné	Název pravidla, které aktivovalo tento alarm
count	číslo	volitelné	Počet oznámení, vygenerovaných tímto typem, od posledního alarmu
hash	řetězec	volitelné	SHA1 hash alarmu
eiconsolelink	řetězec	volitelné	Odkaz na alarm v ESET Inspect konzoli
eialarmid	řetězec	volitelné	ID části odkazu alarmu ($1 v ^http.*/alarm/([0-9]+)$)
computer_severity_score	číslo	volitelné	Úroveň závažnosti počítače
severity_score	číslo	volitelné	Skóre závažnosti pravidla

Příklad EnterpriseInspectorAlert_Event protokolu:

BlockedFiles_Event

ESET PROTECT přeposílá ESET Inspect blokované soubory na Syslog. Záznam o událostech vypadá následovně:

hostname	řetězec	volitelné	Název počítače, který vygeneroval událost
processname	řetězec	volitelné	Název procesu spojeného s touto událostí
username	řetězec	volitelné	Název uživatelského účtu spojeného s touto událostí
hash	řetězec	volitelné	SHA1 hash blokovaného souboru
object_uri	řetězec	volitelné	URI objektu
action	řetězec	volitelné	Akce
firstseen	řetězec	volitelné	Datum a čas první detekce na zařízení (formát data a času).
cause	řetězec	volitelné
description	řetězec	volitelné	Popis blokovaného souboru
handled	řetězec	volitelné	Informace o tom, zda byla detekce vyřešena

˄˅