Ayuda en línea de ESET

Seleccionar la categoría
Seleccionar el tema

Eventos exportados a formato JSON

JSON es un formato liviano para el intercambio de datos. Se forma con una colección de parejas de nombres y valores, y una lista ordenada de valores.

Eventos exportados

Esta sección contiene información sobre el formato y el significado de los atributos de todos los eventos exportados. El mensaje de evento se encuentra en la forma de un objeto JSON con algunas claves obligatorias y otras opcionales. Cada evento exportado contendrá la siguiente clave:

event_type

string

 

Tipo de eventos exportados:

Threat_Event

HipsAggregated_Event

HipsAggregated_Event

Audit_Event

FilteredWebsites_Event

EnterpriseInspectorAlert_Event

BlockedFiles_Event

ipv4

string

opcional

Dirección IPv4 del equipo que genera el evento.

ipv6

string

opcional

Dirección IPv6 del equipo que genera el evento.

source_uuid

string

 

UUID del equipo que genera el evento.

occurred

string

 

Hora UTC de la ocurrencia del evento. El formato es %d-%b-%Y %H:%M:%S

severity

string

 

Severidad del evento. Los posibles valores (de menos grave a más grave) son: Información, Aviso, Advertencia, Error, Critical, Fatal


note

Todos los tipos de eventos que se indican a continuación junto con todos los niveles de gravedad se informan al servidor Syslog. Para filtrar los registros de eventos enviados a Syslog, cree una notificación de categoría de registro con un filtro definido.

Los valores notificados dependen del producto de seguridad de ESET (y su versión) instalado en el equipo administrado y solo ESET PROTECT informa los datos recibidos. Por lo tanto, ESET no puede proporcionar una lista exhaustiva de todos los valores. Le recomendamos que mida su red y filtre los registros en función de los valores recibidos.

Claves personalizadas en función del event_type:

Threat_Event

Todos los eventos de detección generados por puntos finales gestionados serán remitidos a Syslog. Clave específica del evento de detección:

threat_type

string

opcional

Tipo de detección

threat_name

string

opcional

Nombre de la detección

threat_flags

string

opcional

Indicadores relacionados de la detección

scanner_id

string

opcional

ID de exploración

scan_id

string

opcional

ID de exploración

engine_version

string

opcional

Versión del motor de exploración

object_type

string

opcional

Tipo de objeto relacionado con este evento

object_uri

string

opcional

URI del objeto

action_taken

string

opcional

Medidas adoptadas por el punto final

action_error

string

opcional

Mensaje de error si la "acción" no se ha realizado correctamente

threat_handled

bool

opcional

Indica si la detección pudo ser controlada o no

need_restart

bool

opcional

Define si es necesario reiniciar o no

username

string

opcional

Nombre de la cuenta de usuario asociada con el evento

processname

string

opcional

Nombre del proceso asociado al evento

circumstances

string

opcional

Breve descripción de lo que causó el evento

hash

string

opcional

Hash SHA1 del flujo de datos (de la detección).

firstseen

string

opcional

Hora y fecha cuando la detección se detectó por primera vez en ese equipo. ESET PROTECT utiliza diferentes formatos de fecha-hora para el atributo firstseen (y todos los demás atributos fecha-hora) dependiendo del formato de salida del registro (JSON o LEEF):

JSON formato:"%d-%b-%Y %H:%M:%S"

LEEF formato:"%b %d %Y %H:%M:%S"

arrow_down_business Ejemplo de registro de Threat_Event:

FirewallAggregated_Event

Los registros de eventos generados por ESET Firewall los agrega el agente de administración de ESET Management para evitar el desperdicio de ancho de banda durante la replicación del agente ESET Management o del servidor ESET PROTECT. Clave específica del evento de Firewall:

event

string

opcional

Nombre del evento

source_address

string

opcional

Dirección del origen del evento

source_address_type

string

opcional

Tipo de dirección del origen del evento

source_port

número

opcional

Puerto de la fuente del evento

target_address

string

opcional

Dirección de destino del evento

target_address_type

string

opcional

Tipo de dirección del destino del evento

target_port

número

opcional

Puerto del destino del evento

protocol

string

opcional

Protocolo

account

string

opcional

Nombre de la cuenta de usuario asociada con el evento

process_name

string

opcional

Nombre del proceso asociado al evento

rule_name

string

opcional

Nombre de regla

rule_id

string

opcional

ID de la regla

inbound

bool

opcional

Define si la conexión era de entrada o no

threat_name

string

opcional

Nombre de la detección

aggregate_count

número

opcional

Define cuántos mensajes iguales fueron generados por el punto final entre dos replicaciones consecutivas entre el servidor ESET PROTECT y la gestión del agente ESET Management

action

string

opcional

Medida tomada

handled

string

opcional

Indica si la detección pudo ser controlada o no

arrow_down_business Ejemplo de registro de FirewallAggregated_Event:

HIPSAggregated_Event

Los eventos del Sistema de prevención de intrusiones basado en host se filtran según la severidad antes de ser enviados como mensajes de Syslog. Sólo los eventos con los niveles de severidad Error, Crítico y Fatal son enviados a Syslog. Los atributos específicos de HIPS son los siguientes:

application

string

opcional

Nombre de la aplicación

operation

string

opcional

Operación

target

string

opcional

Destino

action

string

opcional

Medida tomada

action_taken

string

opcional

Medidas adoptadas por el punto final

rule_name

string

opcional

Nombre de regla

rule_id

string

opcional

ID de la regla

aggregate_count

número

opcional

Define cuántos mensajes iguales fueron generados por el punto final entre dos replicaciones consecutivas entre el servidor ESET PROTECT y la gestión del agente ESET Management

handled

string

opcional

Indica si la detección pudo ser controlada o no

arrow_down_business Ejemplo de registro de HipsAggregated_Event:

Audit_Event

ESET PROTECT envía los mensajes de registro de auditoría interna del servidor a Syslog. Los atributos específicos son los siguientes:

domain

string

opcional

Dominio de registro de auditoría

action

string

opcional

Acción que se lleva a cabo

target

string

opcional

Acción de destino que está en funcionamiento

detail

string

opcional

Descripción detallada de la acción

user

string

opcional

Usuario de seguridad involucrado

result

string

opcional

Resultado de la acción

arrow_down_business Ejemplo de registro de Audit_Event:

FilteredWebsites_Event

ESET PROTECT reenvía los sitios web filtrados (detecciones de protección web) a Syslog. Los atributos específicos son los siguientes:

hostname

string

opcional

Nombre de host del equipo con el evento

processname

string

opcional

Nombre del proceso asociado al evento

username

string

opcional

Nombre de la cuenta de usuario asociada con el evento

hash

string

opcional

Hash SHA1 del objeto filtrado

event

string

opcional

Tipo de evento

rule_id

string

opcional

ID de la regla

action_taken

string

opcional

Medida tomada

scanner_id

string

opcional

ID de exploración

object_uri

string

opcional

URI del objeto

target_address

string

opcional

Dirección de destino del evento

target_address_type

string

opcional

Tipo de dirección del destino del evento (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

opcional

Indica si la detección pudo ser controlada o no

arrow_down_business Ejemplo de registro de FilteredWebsites_Event:

EnterpriseInspectorAlert_Event

ESET PROTECT reenvía las alarmas de ESET Inspect a Syslog. Los atributos específicos son los siguientes:

processname

string

opcional

Nombre del proceso que causa esta alarma

username

string

opcional

Dueño del proceso

rulename

string

opcional

Nombre de la regla que desencadena esta alarma

count

número

opcional

Cantidad de alertas de este tipo que se han generado desde la última alarma

hash

string

opcional

Hash SHA1 de la alarma

eiconsolelink

string

opcional

Enlace a la alarma en la consola ESET Inspect

eialarmid

string

opcional

Subparte del ID del enlace de la alarma ($1 en ^http.*/alarm/([0-9]+)$)

computer_severity_score

número

opcional

Nivel de gravedad del equipo

severity_score

número

opcional

Nivel de gravedad de la regla

arrow_down_business Ejemplo de registro de EnterpriseInspectorAlert_Event:

BlockedFiles_Event

ESET PROTECT reenvía las alarmas de los archivos bloqueados de ESET Inspect a Syslog. Los atributos específicos son los siguientes:

hostname

string

opcional

Nombre de host del equipo con el evento

processname

string

opcional

Nombre del proceso asociado al evento

username

string

opcional

Nombre de la cuenta de usuario asociada con el evento

hash

string

opcional

Hash SHA1 del archivo bloqueado

object_uri

string

opcional

URI del objeto

action

string

opcional

Medida tomada

firstseen

string

opcional

Hora y fecha cuando la detección se detectó por primera vez en ese equipo (formato de fecha y hora).

cause

string

opcional

 

description

string

opcional

Descripción del archivo bloqueado

handled

string

opcional

Indica si la detección pudo ser controlada o no