Export von Ereignissen im JSON-Format
JSON ist ein schlankes Format für den Austausch von Daten. Dieses Format verwendet eine Sammlung von Name-Wert-Paaren und eine geordnete Liste von Werten.
Exportierte Ereignisse
Dieser Abschnitt enthält Details zu Format und Bedeutung der Attribute aller exportierten Ereignisse. Die Ereignisnachricht wird als JSON-Objekt mit Pflicht- und optionalen Schlüsseln formatiert. Jedes exportierte Ereignis enthält den folgenden Schlüssel:
event_type |
string |
|
Typ der exportierten Ereignisse: |
|---|---|---|---|
ipv4 |
string |
optional |
IPv4-Adresse des Computers, der das Ereignis generiert hat. |
ipv6 |
string |
optional |
IPv6-Adresse des Computers, der das Ereignis generiert hat. |
source_uuid |
string |
|
UUID des Computers, der das Ereignis generiert hat. |
occurred |
string |
|
UTC-Zeitpunkt, zu dem das Ereignis aufgetreten ist. Format: %d-%b-%Y %H:%M:%S |
severity |
string |
|
Schweregrad des Ereignisses. Mögliche Werte (vom niedrigsten zum höchsten Schweregrad): Information, Hinweis, Warnung, Error, Kritisch, Schwerwiegend. |
|
Alle unten aufgelisteten Ereignistypen mit allen Schweregraden werden an den Syslog-Server gemeldet. Um die an Syslog gesendeten Ereignis-Logs zu filtern, wählen Sie Eine Benachrichtigung für die Log-Kategorie erstellen mit einem definierten Filter. Die gemeldeten Werte davon ab, welches ESET Sicherheitsprodukt (und welche Version) auf dem verwalteten Computer installiert ist. ESET PROTECT meldet nur die empfangenen Daten. Daher kann ESET keine vollständige Liste der Werte zur Verfügung stellen. Wir empfehlen, ihr Netzwerk im Blick zu behalten und die Logs anhand der erhaltenen Werte zu filtern. |
Benutzerdefinierte Schlüssel gemäß event_type:
Threat_Event
Alle von verwalteten Endpunkten generierten Ereignisse werden an Syslog weitergeleitet. Spezifische Schlüssel für Ereignisse:
threat_type |
string |
optional |
Ereignisart |
|---|---|---|---|
threat_name |
string |
optional |
Ereignisname |
threat_flags |
string |
optional |
Ereignisbezogene Flags |
scanner_id |
string |
optional |
Scanner-ID |
scan_id |
string |
optional |
Scan-ID |
engine_version |
string |
optional |
Version des Prüfmoduls |
object_type |
string |
optional |
Art des Objekts, auf sich das Ereignis bezieht |
object_uri |
string |
optional |
Objekt-URI |
action_taken |
string |
optional |
Auf dem Endpunkt ausgeführte Aktion |
action_error |
string |
optional |
Fehlermeldung, wenn die Aktion nicht erfolgreich war |
threat_handled |
bool |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
need_restart |
bool |
optional |
Gibt an, ob ein Neustart erforderlich ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
circumstances |
string |
optional |
Kurze Beschreibung der Ursache des Ereignisses |
hash |
string |
optional |
SHA1-Hash des Datenstroms (Ereignis). |
string |
optional |
Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer. Das von ESET PROTECT verwendete Datums- und Zeitformat für das firstseen-Attribut (und andere Datums- und Uhrzeitattribute) hängt vom Log-Ausgabeformat ab (JSON oder LEEF): •JSON formatieren"%d-%b-%Y %H:%M:%S" •LEEF formatieren"%b %d %Y %H:%M:%S" |
FirewallAggregated_Event
Die von ESET Firewall generierten Ereignis-Logs werden von dem verwaltenden ESET Management Agenten aggregiert, um die benötigte Bandbreite für die Replikation zwischen ESET Management Agent und ESET PROTECT Server zu reduzieren. Spezifische Schlüssel für Firewall-Ereignisse:
event |
string |
optional |
Ereignisname |
|---|---|---|---|
source_address |
string |
optional |
Adresse der Ereignisquelle |
source_address_type |
string |
optional |
Art der Adresse der Ereignisquelle |
source_port |
Nummer |
optional |
Port der Ereignisquelle |
target_address |
string |
optional |
Adresse des Ereignisziels |
target_address_type |
string |
optional |
Art der Adresse des Ereignisziels |
target_port |
Nummer |
optional |
Port des Ereignisziels |
protocol |
string |
optional |
Protokoll |
account |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
process_name |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
rule_name |
string |
optional |
Regelname |
rule_id |
string |
optional |
Regel-ID |
inbound |
bool |
optional |
Gibt an, ob die Verbindung eingehend war |
threat_name |
string |
optional |
Ereignisname |
aggregate_count |
Nummer |
optional |
Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Server und verwaltendem ESET Management Agent generiert wurden |
action |
string |
optional |
Ausgeführte Aktion |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„FirewallAggregated_Event“-Log-Beispiel:
HIPSAggregated_Event
Ereignisse aus dem Host-based Intrusion Prevention System werden zunächst nach Schweregrad gefiltert und anschließend als Syslog-Nachrichten weitergeleitet. Nur Ereignisse der Schweregrade Error, Critical und Fatal werden an Syslog weitergeleitet. HIPS-spezifische Attribute:
application |
string |
optional |
Anwendungsname |
|---|---|---|---|
operation |
string |
optional |
Vorgang |
target |
string |
optional |
Ziel |
action |
string |
optional |
Ausgeführte Aktion |
action_taken |
string |
optional |
Auf dem Endpunkt ausgeführte Aktion |
rule_name |
string |
optional |
Regelname |
rule_id |
string |
optional |
Regel-ID |
aggregate_count |
Nummer |
optional |
Anzahl der exakt gleichen Nachrichten, die vom Endpunkt zwischen zwei aufeinander folgenden Replikationen zwischen ESET PROTECT Server und verwaltendem ESET Management Agent generiert wurden |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„HipsAggregated_Event“-Log-Beispiel:
Audit_Event
ESET PROTECT leitet die internen Audit-Log-Nachrichten des Servers an Syslog weiter. Spezifische Attribute:
domain |
string |
optional |
Audit-Log-Domäne |
|---|---|---|---|
action |
string |
optional |
Ausgeführte Aktion |
target |
string |
optional |
Ziel der Aktion |
detail |
string |
optional |
Ausführliche Beschreibung der Aktion |
user |
string |
optional |
Beteiligter Sicherheitsbenutzer |
result |
string |
optional |
Resultat der Aktion |
FilteredWebsites_Event
ESET PROTECT leitet die gefilterten Websites (Web-Schutz-Ereignisse) an Syslog weiter. Spezifische Attribute:
hostname |
string |
optional |
Hostname des Computers mit dem Ereignis |
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
hash |
string |
optional |
SHA1-Hash des gefilterten Objekts |
event |
string |
optional |
Ereignistyp |
rule_id |
string |
optional |
Regel-ID |
action_taken |
string |
optional |
Ausgeführte Aktion |
scanner_id |
string |
optional |
Scanner-ID |
object_uri |
string |
optional |
Objekt-URI |
target_address |
string |
optional |
Adresse des Ereignisziels |
target_address_type |
string |
optional |
Art der Adresse des Ereignisziels (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |
„FilteredWebsites_Event“-Log-Beispiel:
EnterpriseInspectorAlert_Event
ESET PROTECT leitet ESET Inspect-Alarmmeldungen an Syslog weiter. Spezifische Attribute:
processname |
string |
optional |
Name des Prozesses, der den Alarm ausgelöst hat |
|---|---|---|---|
username |
string |
optional |
Eigentümer des Prozesses |
rulename |
string |
optional |
Name der Regel, die den Alarm ausgelöst hat |
count |
Nummer |
optional |
Anzahl der Alarmmeldungen von diesem Typ seit dem letzten Alarm |
hash |
string |
optional |
SHA1-Hash des Alarms |
eiconsolelink |
string |
optional |
Link zum Alarm in der ESET Inspect-Konsole |
eialarmid |
string |
optional |
ID-Komponente des Alarmlinks ($1 in ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
Nummer |
optional |
Computer-Schweregradsbewertung |
severity_score |
Nummer |
optional |
Regel-Schweregradsbewertung |
„EnterpriseInspectorAlert_Event“-Log-Beispiel:
BlockedFiles_Event
ESET PROTECT leitet von ESET Inspect blockierte Dateien an Syslog weiter. Spezifische Attribute:
hostname |
string |
optional |
Hostname des Computers mit dem Ereignis |
processname |
string |
optional |
Name des Prozesses, der mit dem Ereignis verknüpft ist |
username |
string |
optional |
Name des Benutzerkontos, das mit dem Ereignis verknüpft ist |
hash |
string |
optional |
SHA1-Hash der blockierten Datei |
object_uri |
string |
optional |
Objekt-URI |
action |
string |
optional |
Ausgeführte Aktion |
firstseen |
string |
optional |
Zeitpunkt der ersten Erkennung des Ereignisses auf diesem Computer (Datums- und Uhrzeitformat). |
cause |
string |
optional |
|
description |
string |
optional |
Beschreibung der blockierten Datei |
handled |
string |
optional |
Gibt an, ob das Ereignis verarbeitet wurde |