Eventos exportados a formato JSON
JSON es un formato liviano para el intercambio de datos. Se forma con una colección de parejas de nombres y valores, y una lista ordenada de valores.
Eventos exportados
Esta sección contiene información sobre el formato y el significado de los atributos de todos los eventos exportados. El mensaje de evento se encuentra en la forma de un objeto JSON con algunas claves obligatorias y otras opcionales. Cada evento exportado contendrá la siguiente clave:
event_type |
string |
|
Tipo de eventos exportados: |
|---|---|---|---|
ipv4 |
string |
opcional |
Dirección IPv4 del equipo que genera el evento. |
ipv6 |
string |
opcional |
Dirección IPv6 del equipo que genera el evento. |
source_uuid |
string |
|
UUID del equipo que genera el evento. |
occurred |
string |
|
Hora UTC de la ocurrencia del evento. El formato es %d-%b-%Y %H:%M:%S |
severity |
string |
|
Severidad del evento. Los posibles valores (de menos grave a más grave) son: Información, Aviso, Advertencia, Error, Critical, Fatal |
|
Todos los tipos de eventos que se indican a continuación junto con todos los niveles de gravedad se informan al servidor Syslog. Para filtrar los registros de eventos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido. Los valores notificados dependen del producto de seguridad de ESET (y su versión) instalado en el equipo administrado y solo ESET PROTECT informa los datos recibidos. Por lo tanto, ESET no puede proporcionar una lista exhaustiva de todos los valores. Le recomendamos que mida su red y filtre los registros en función de los valores recibidos. |
Claves personalizadas en función del event_type:
Threat_Event
Todos los eventos de detección generados por puntos finales gestionados serán remitidos a Syslog. Clave específica del evento de detección:
threat_type |
string |
opcional |
Tipo de detección |
|---|---|---|---|
threat_name |
string |
opcional |
Nombre de la detección |
threat_flags |
string |
opcional |
Indicadores relacionados de la detección |
scanner_id |
string |
opcional |
ID de exploración |
scan_id |
string |
opcional |
ID de exploración |
engine_version |
string |
opcional |
Versión del motor de exploración |
object_type |
string |
opcional |
Tipo de objeto relacionado con este evento |
object_uri |
string |
opcional |
URI del objeto |
action_taken |
string |
opcional |
Medidas adoptadas por el punto final |
action_error |
string |
opcional |
Mensaje de error si la "acción" no se ha realizado correctamente |
threat_handled |
bool |
opcional |
Indica si la detección pudo ser controlada o no |
need_restart |
bool |
opcional |
Define si es necesario reiniciar o no |
username |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
processname |
string |
opcional |
Nombre del proceso asociado al evento |
circumstances |
string |
opcional |
Breve descripción de lo que causó el evento |
hash |
string |
opcional |
Hash SHA1 del flujo de datos (de la detección). |
string |
opcional |
Hora y fecha cuando la detección se detectó por primera vez en ese equipo. ESET PROTECT utiliza diferentes formatos de fecha-hora para el atributo firstseen (y todos los demás atributos fecha-hora) dependiendo del formato de salida del registro (JSON o LEEF): •JSON formato:"%d-%b-%Y %H:%M:%S" •LEEF formato:"%b %d %Y %H:%M:%S" |
Ejemplo de registro de Threat_Event:
FirewallAggregated_Event
Los registros de eventos generados por ESET Firewall los agrega el agente de administración de ESET Management para evitar el desperdicio de ancho de banda durante la replicación del agente ESET Management o del servidor ESET PROTECT. Clave específica del evento de Firewall:
event |
string |
opcional |
Nombre del evento |
|---|---|---|---|
source_address |
string |
opcional |
Dirección del origen del evento |
source_address_type |
string |
opcional |
Tipo de dirección del origen del evento |
source_port |
número |
opcional |
Puerto de la fuente del evento |
target_address |
string |
opcional |
Dirección de destino del evento |
target_address_type |
string |
opcional |
Tipo de dirección del destino del evento |
target_port |
número |
opcional |
Puerto del destino del evento |
protocol |
string |
opcional |
Protocolo |
account |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
process_name |
string |
opcional |
Nombre del proceso asociado al evento |
rule_name |
string |
opcional |
Nombre de regla |
rule_id |
string |
opcional |
ID de la regla |
inbound |
bool |
opcional |
Define si la conexión era de entrada o no |
threat_name |
string |
opcional |
Nombre de la detección |
aggregate_count |
número |
opcional |
Define cuántos mensajes iguales fueron generados por el punto final entre dos replicaciones consecutivas entre el servidor ESET PROTECT y la gestión del agente ESET Management |
action |
string |
opcional |
Medida tomada |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
Ejemplo de registro de FirewallAggregated_Event:
HIPSAggregated_Event
Los eventos del Sistema de prevención de intrusiones basado en host se filtran según la severidad antes de ser enviados como mensajes de Syslog. Sólo los eventos con los niveles de severidad Error, Crítico y Fatal son enviados a Syslog. Los atributos específicos de HIPS son los siguientes:
application |
string |
opcional |
Nombre de la aplicación |
|---|---|---|---|
operation |
string |
opcional |
Operación |
target |
string |
opcional |
Destino |
action |
string |
opcional |
Medida tomada |
action_taken |
string |
opcional |
Medidas adoptadas por el punto final |
rule_name |
string |
opcional |
Nombre de regla |
rule_id |
string |
opcional |
ID de la regla |
aggregate_count |
número |
opcional |
Define cuántos mensajes iguales fueron generados por el punto final entre dos replicaciones consecutivas entre el servidor ESET PROTECT y la gestión del agente ESET Management |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
Ejemplo de registro de HipsAggregated_Event:
Audit_Event
ESET PROTECT envía los mensajes de registro de auditoría interna del servidor a Syslog. Los atributos específicos son los siguientes:
domain |
string |
opcional |
Dominio de registro de auditoría |
|---|---|---|---|
action |
string |
opcional |
Acción que se lleva a cabo |
target |
string |
opcional |
Acción de destino que está en funcionamiento |
detail |
string |
opcional |
Descripción detallada de la acción |
user |
string |
opcional |
Usuario de seguridad involucrado |
result |
string |
opcional |
Resultado de la acción |
Ejemplo de registro de Audit_Event:
FilteredWebsites_Event
ESET PROTECT reenvía los sitios web filtrados (detecciones de protección web) a Syslog. Los atributos específicos son los siguientes:
hostname |
string |
opcional |
Nombre de host del equipo con el evento |
processname |
string |
opcional |
Nombre del proceso asociado al evento |
username |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
hash |
string |
opcional |
Hash SHA1 del objeto filtrado |
event |
string |
opcional |
Tipo de evento |
rule_id |
string |
opcional |
ID de la regla |
action_taken |
string |
opcional |
Medida tomada |
scanner_id |
string |
opcional |
ID de exploración |
object_uri |
string |
opcional |
URI del objeto |
target_address |
string |
opcional |
Dirección de destino del evento |
target_address_type |
string |
opcional |
Tipo de dirección del destino del evento (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |
Ejemplo de registro de FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT reenvía las alarmas de ESET Inspect a Syslog. Los atributos específicos son los siguientes:
processname |
string |
opcional |
Nombre del proceso que causa esta alarma |
|---|---|---|---|
username |
string |
opcional |
Dueño del proceso |
rulename |
string |
opcional |
Nombre de la regla que desencadena esta alarma |
count |
número |
opcional |
Cantidad de alertas de este tipo que se han generado desde la última alarma |
hash |
string |
opcional |
Hash SHA1 de la alarma |
eiconsolelink |
string |
opcional |
Enlace a la alarma en la consola ESET Inspect |
eialarmid |
string |
opcional |
Subparte del ID del enlace de la alarma ($1 en ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
número |
opcional |
Nivel de gravedad del equipo |
severity_score |
número |
opcional |
Nivel de gravedad de la regla |
Ejemplo de registro de EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT reenvía las alarmas de los archivos bloqueados de ESET Inspect a Syslog. Los atributos específicos son los siguientes:
hostname |
string |
opcional |
Nombre de host del equipo con el evento |
processname |
string |
opcional |
Nombre del proceso asociado al evento |
username |
string |
opcional |
Nombre de la cuenta de usuario asociada con el evento |
hash |
string |
opcional |
Hash SHA1 del archivo bloqueado |
object_uri |
string |
opcional |
URI del objeto |
action |
string |
opcional |
Medida tomada |
firstseen |
string |
opcional |
Hora y fecha cuando la detección se detectó por primera vez en ese equipo (formato de fecha y hora). |
cause |
string |
opcional |
|
description |
string |
opcional |
Descripción del archivo bloqueado |
handled |
string |
opcional |
Indica si la detección pudo ser controlada o no |