Aide en ligne d'ESET

Recherche Français canadien
Sélectionnez la catégorie
Sélectionnez le sujet

Événements exportés au format JSON

JSON est un format léger pour l'échange de données. Il repose sur un groupe de paires nom/valeur et une liste classée de valeurs.

Evénements exportés

Cette section contient des détails sur le format et la signification des attributs de tous les événements exportés. Le message d'événement prend la forme d'un objet JSON avec quelques clés obligatoires et facultatives. Chaque événement exporté contiendra la clé suivante :

event_type

chaine

 

Type d'événements exportés :

Threat_Event

FirewallAggregated_Event

HipsAggregated_Event

Audit_Event

FilteredWebsites_Event

EnterpriseInspectorAlert_Event

BlockedFiles_Event

ipv4

chaine

facultatif

Adresse IPv4 de l'ordinateur générant l'événement.

ipv6

chaine

facultatif

Adresse IPv6 de l'ordinateur générant l'événement.

source_uuid

chaine

 

UUID de l'ordinateur générant l'événement.

occurred

chaine

 

Heure UTC d'occurrence de l'événement. Le format est %d-%b-%Y %H:%M:%S

severity

chaine

 

Gravité de l'événement. Les valeurs possibles (du moins grave au plus grave) sont les suivantes : Information, Avis, Avertissement, Erreur, Critique, Fatal


note

Tous les types d’événements énumérés ci-dessous avec tous les niveaux de gravité sont signalés au serveur Syslog. Pour filtrer les journaux d’événements envoyés à Syslog, créez une notification de catégorie de journal avec un filtre défini.

Les valeurs indiquées dépendent du produit de sécurité ESET (et de sa version) installé sur l’ordinateur géré et ESET PROTECT ne signalent que les données reçues. Par conséquent, ESET ne peut pas fournir une liste exhaustive de toutes les valeurs. Nous vous recommandons de surveiller votre réseau et de filtrer les journaux en fonction des valeurs que vous recevez.

Clés personnalisées selon event_type :

Threat_Event

Tous les événements de détection générés par des terminaux gérés seront transférés à Syslog. Clé spécifique à un événement de détection :

threat_type

chaine

facultatif

Type de la détection

threat_name

chaine

facultatif

Nom de la détection

threat_flags

chaine

facultatif

Indicateurs liés à des détections

scanner_id

chaine

facultatif

ID d'analyseur

scan_id

chaine

facultatif

ID d'analyse

engine_version

chaine

facultatif

Version du moteur d'analyse

object_type

chaine

facultatif

Type d'objet lié à cet événement

object_uri

chaine

facultatif

URI de l’objet

action_taken

chaine

facultatif

Action prise par le point de terminaison

action_error

chaine

facultatif

Message d'erreur en cas d'échec de « l'action »

threat_handled

bool

facultatif

Indique si la détection a été gérée ou non

need_restart

bool

facultatif

Indique si un redémarrage est nécessaire ou non

username

chaine

facultatif

Nom du compte utilisateur associé à l'événement

processname

chaine

facultatif

Nom du processus associé à l'événement

circumstances

chaine

facultatif

Brève description de la cause de l'événement

hash

chaine

facultatif

Hachage SHA1 du flux de données (de détection).

firstseen

chaine

facultatif

Heure et date auxquelles la détection s'est produite pour la première fois sur cet ordinateur. ESET PROTECT utilise différents formats date-heure pour l'attribut firstseen (et tout autre attribut date-heure) en fonction du format de sortie du journal (JSON ou LEEF) :

JSON format : "%d-%b-%Y %H:%M:%S"

LEEF format : "%b %d %Y %H:%M:%S"

arrow_down_business Exemple de journalisation de Threat_Event :

FirewallAggregated_Event

Les journaux d'événements générés par le pare-feu personnel d'ESET sont agrégés par la gestion de l'agent ESET Management pour éviter le gaspillage de bande passante pendant la réplication de l'agent ESET Management ou du serveur ESET PROTECT. Clé spécifique à un événement de pare-feu :

event

chaine

facultatif

Nom de l'événement

source_address

chaine

facultatif

Adresse de la source de l'événement

source_address_type

chaine

facultatif

Type d'adresse de la source de l'événement

source_port

number

facultatif

Port de la source de l'événement

target_address

chaine

facultatif

Adresse de la destination de l'événement

target_address_type

chaine

facultatif

Type d'adresse de la destination de l'événement

target_port

number

facultatif

Port de la destination de l'événement

protocol

chaine

facultatif

Protocole

account

chaine

facultatif

Nom du compte utilisateur associé à l'événement

process_name

chaine

facultatif

Nom du processus associé à l'événement

rule_name

chaine

facultatif

Nom de la règle

rule_id

chaine

facultatif

ID de règle

inbound

bool

facultatif

Indique si la connexion était entrante ou non

threat_name

chaine

facultatif

Nom de la détection

aggregate_count

number

facultatif

Nombre de messages identiques générés par le point de terminaison entre deux réplications consécutives entre le serveur ESET PROTECT et l'agent ESET Management de gestion

action

chaine

facultatif

Action entreprise

handled

chaine

facultatif

Indique si la détection a été gérée ou non

arrow_down_business Exemple de journalisation de FirewallAggregated_Event :

HIPSAggregated_Event

Les événements du système HIPS (Host-based Intrusion Prevention System) sont filtrés sur la gravité avant d'être transmis plus avant en tant que messages Syslog. Seuls les événements dont les niveau de gravité sont Error, Critical et Fatal sont envoyés à Syslog. Les attributs spécifiques à HIPS sont les suivants :

application

chaine

facultatif

Nom de l’application

operation

chaine

facultatif

Opération

target

chaine

facultatif

Cible

action

chaine

facultatif

Action entreprise

action_taken

chaine

facultatif

Action prise par le point de terminaison

rule_name

chaine

facultatif

Nom de la règle

rule_id

chaine

facultatif

ID de règle

aggregate_count

number

facultatif

Nombre de messages identiques générés par le point de terminaison entre deux réplications consécutives entre le serveur ESET PROTECT et l'agent ESET Management de gestion

handled

chaine

facultatif

Indique si la détection a été gérée ou non

arrow_down_business Exemple de journalisation de HipsAggregated_Event :

Audit_Event

ESET PROTECT transmet les messages du journal d'audit interne du serveur à Syslog. Les attributs spécifiques sont les suivants :

domain

chaine

facultatif

Domaine du journal d'audit

action

chaine

facultatif

Action en cours

target

chaine

facultatif

L'action cible s'effectue sur

detail

chaine

facultatif

Description détaillée de l'action

user

chaine

facultatif

Utilisateur de sécurité impliqué

result

chaine

facultatif

Résultat de l'action

arrow_down_business Exemple de journalisation de Audit_Event :

FilteredWebsites_Event

ESET PROTECT transfère les sites Web filtrés (détections de la protection Web) à Syslog. Les attributs spécifiques sont les suivants :

hostname

chaine

facultatif

Nom d'hôte de l'ordinateur générant l'événement

processname

chaine

facultatif

Nom du processus associé à l'événement

username

chaine

facultatif

Nom du compte utilisateur associé à l'événement

hash

chaine

facultatif

Hachage SHA1 de l'objet filtré

event

chaine

facultatif

Type de l'événement

rule_id

chaine

facultatif

ID de règle

action_taken

chaine

facultatif

Action entreprise

scanner_id

chaine

facultatif

ID d'analyseur

object_uri

chaine

facultatif

URI de l’objet

target_address

chaine

facultatif

Adresse de la destination de l'événement

target_address_type

chaine

facultatif

Type d'adresse de la destination de l'événement (25769803777 = IPv4; 25769803778 = IPv6)

handled

chaine

facultatif

Indique si la détection a été gérée ou non

arrow_down_business Exemple de journalisation de FilteredWebsites_Event :

EnterpriseInspectorAlert_Event

ESET PROTECT transfère les alarmes ESET Inspect à Syslog. Les attributs spécifiques sont les suivants :

processname

chaine

facultatif

Nom du processus à l'origine de cette alarme

username

chaine

facultatif

Propriétaire du processus

rulename

chaine

facultatif

Nom de la règle déclenchant cette alarme

count

number

facultatif

Nombre d'alertes de ce type générées depuis la dernière alarme

hash

chaine

facultatif

Hachage SHA1 de l'alarme

eiconsolelink

chaine

facultatif

Lien vers l'alarme dans la console ESET Inspect

eialarmid

chaine

facultatif

Sous-partie ID du lien d'alarme ($1 dans ^http.*/alarm/([0-9]+)$)

computer_severity_score

number

facultatif

Score de gravité pour l’ordinateur

severity_score

number

facultatif

Score de sévérité de la règle

arrow_down_business Exemple de journalisation de EnterpriseInspectorAlert_Event :

BlockedFiles_Event

ESET PROTECT transfère les fichiers bloqués ESET Inspect à Syslog. Les attributs spécifiques sont les suivants :

hostname

chaine

facultatif

Nom d'hôte de l'ordinateur générant l'événement

processname

chaine

facultatif

Nom du processus associé à l'événement

username

chaine

facultatif

Nom du compte utilisateur associé à l'événement

hash

chaine

facultatif

Hachage SHA1 du fichier bloqué

object_uri

chaine

facultatif

URI de l’objet

action

chaine

facultatif

Action entreprise

firstseen

chaine

facultatif

Heure et date auxquelles la détection s'est produite pour la première fois sur cet ordinateur format de la date et de l'heure.

cause

chaine

facultatif

 

description

chaine

facultatif

Description du fichier bloqué

handled

chaine

facultatif

Indique si la détection a été gérée ou non